Hakeriai bandė 2 „Sophos“ nulinės dienos pažeidžiamumo išnaudojimo metodai’ XG ugniasienė, tačiau „Sophos“ teigia, kad ji padarė laikiną pataisą, kuri sumažino riziką.
Iš pradžių užpuolikai bandė įdiegti Trojos arklys į tinklus, pasinaudodami nulinės dienos pažeidžiamumu, bet tada perėjo prie išpirkos reikalaujančios programos.
XG ugniasienės, gavusios karštąsias pataisas, galėjo blokuoti atakas, įskaitant išpirkos reikalaujančią programinę įrangą, kurią bendrovė įvardijo kaip Ragnarok.
Ši kriptovaliutų užrakinimo kenkėjiška programa pirmą kartą buvo pastebėta sausio mėnesį, kai apsaugos įmonė „FireEye“ paskelbė apie tai ataskaitą, pažymėdamas, kad jos operatoriai tuo metu bandė pasinaudoti Citrix ADC ir Gateway serverių trūkumais.
„Sophos“ aptiko pirmąją šių atakų bangą balandžio mėn., kai įsilaužėliai bandė pasinaudoti nulinės dienos SQL injekcijos pažeidžiamumu XG ugniasienės produktuose..
CVE-2020-12271, leido užpuolikams nusitaikyti į ugniasienės integruotą PostgreSQL duomenų bazės serverį, tada leisti įsilaužėliams įvesti vieną Linux kodo eilutę į duomenų bazes, kurios leistų jiems įdiegti kenkėjiškas programas pažeidžiamuose tinkluose.
Užpuolikai bandė pasodinti Trojos arklys, pavadintas Asnarök, kuri leidžia grėsmės veikėjams pavogti naudotojų vardus ir slaptažodžius, kuriems buvo pritaikyta maiša.
Kai „Sophos“ analitikai pradėjo pastebėti besiskleidžiančius išpuolius, jie suskubo laikiną pataisą savo klientams..
Tada įsilaužėliai bandė pakeisti taktiką.
Per pirminius išpuolius balandžio mėn, įsilaužėliai paliko tai, ką Sophos vadina a “atsarginis kanalas” ir kitus kenkėjiškus failus, kurie leistų užpuolikams vėl patekti į tinklą, jei jie būtų aptikti ir užblokuoti.
Kai Sophos užblokavo pirmąją ugniasienės ataką karštąja pataisa, įsilaužėliai bandė panaudoti „EternalBlue“ pažeidžiamumą senesnėse „Microsoft Windows“ versijose ir „DoublePulsar“ užpakalinių durų kenkėjišką programą, kad vėl įeitų į tinklus ir pasodintų Ragnarok išpirkos reikalaujančią programinę įrangą..
Karštoji pataisa neleido įsilaužėliams įvykdyti šios naujesnės atakos, nes išjungė kenkėjiškus failus.
Šaltinis: https://www.instagram.com/p/CAiSyUZAP6J/
