t04ndv
Moderator
-
02/02/2021
-
18
-
85 bài viết
HelloKitty ransomware đang nhắm mục tiêu các thiết bị SonicWall
CISA cảnh báo về các tác nhân đe dọa nhắm mục tiêu vào "một lỗ hổng đã biết và đã được vá trước đó" được tìm thấy trong các sản phẩm SonicWall Secure Mobile Access (SMA) 100 và Secure Remote Access (SRA) có chương trình cơ sở cuối đời.
Cơ quan liên bang Hoa Kỳ cho biết thêm, những kẻ tấn công có thể khai thác lỗ hổng bảo mật này như một phần của cuộc tấn công ransomware có chủ đích. Cảnh báo này được đưa ra sau khi SonicWall đưa ra "thông báo bảo mật khẩn cấp" và gửi email để cảnh báo khách hàng về "nguy cơ sắp xảy ra của một cuộc tấn công ransomware có chủ đích".
Công ty cho biết rằng nguy cơ bị tấn công bằng mã độc tống tiền (ransomware) là sắp xảy ra, nhưng Giám đốc điều hành Coveware - Bill Siegel - đã xác nhận cảnh báo của CISA nói rằng chiến dịch vẫn đang diễn ra. CISA khuyến cáo người dùng và quản trị viên xem lại thông báo bảo mật SonicWall và nâng cấp thiết bị của họ lên chương trình cơ sở mới nhất hoặc ngắt kết nối ngay lập tức tất cả các thiết bị đã quá "cũ".
HelloKity là một ransomware do con người điều hành hoạt động kể từ tháng 11 năm 2020, chủ yếu được biết đến với việc mã hóa hệ thống của CD Projekt Red và tuyên bố đã đánh cắp mã nguồn của Cyberpunk 2077, Witcher 3, Gwent và các trò chơi khác.
Mặc dù lỗi bị lạm dụng để xâm phạm các sản phẩm chưa được vá, EOL SMA và SRA không được tiết lộ trong cảnh báo của CISA hoặc thông báo của SonicWall, nhà nghiên cứu bảo mật của CrowdStrike, Heather Smith đã nói với BleepingComputer ngày hôm qua rằng lỗ hổng được nhắm mục tiêu được theo dõi là CVE-2019-7481.
"Việc khai thác này nhắm vào một lỗ hổng đã biết từ lâu đã được vá trong các phiên bản firmware mới hơn được phát hành vào đầu năm 2021", SonicWall cho biết trong một tuyên bố gửi qua email.
Tuy nhiên, Heather Smith và Hanno Heinrichs của CrowdStrike cho biết trong một báo cáo được công bố vào tháng trước rằng "Các nhóm ứng phó sự cố của CrowdStrike Services đã xác định các tác nhân eCrime sử dụng lỗ hổng SonicWall VPN cũ hơn, CVE-2019-7481, ảnh hưởng đến các thiết bị Truy cập từ xa an toàn (SRA) 4600".
Babuk ransomware cũng đang nhắm mục tiêu đến các VPN SonicWall có khả năng dễ bị tấn công CVE-2020-5135. Lỗ hổng này đã được vá vào tháng 10 năm 2020 nhưng nó vẫn bị "lạm dụng nhiều bởi các nhóm ransomware ngày nay, theo Coveware.
Mandiant đã theo dõi những mối đe dọa từ UNC2447 cũng đã khai thác lỗi zero-day CVE-2021-20016 trong các thiết bị VPN SonicWall SMA 100 Series để triển khai một dòng ransomware mới có tên FiveHands (một biến thể DeathRansom giống như HelloKitty).
Các cuộc tấn công của họ nhắm vào nhiều mục tiêu ở Bắc Mỹ và châu Âu trước khi SonicWall phát hành các bản vá lỗi vào cuối tháng 2 năm 2021 .
Zero-day tương tự cũng đã bị lạm dụng vào tháng 1 trong các cuộc tấn công nhắm vào hệ thống nội bộ của SonicWall và sau đó bị khai thác bừa bãi trong tự nhiên.
Các nhà phân tích mối đe dọa của Mandiant đã phát hiện ra ba lỗ hổng zero-day khác trong các sản phẩm Bảo mật Email (ES) tại chỗ và lưu trữ của SonicWall vào tháng ba.
Ba zero-day này cũng đã được một nhóm theo dõi Mandiant là UNC2682 tích cực khai thác các hệ thống cửa sau sử dụng web shell của BEHINDER, cho phép chúng di chuyển ngang qua mạng của nạn nhân và truy cập email và tệp.
Các nhà nghiên cứu của Mandiant cho biết vào thời điểm đó: "Kẻ thù đã tận dụng những lỗ hổng này, với kiến thức sâu sắc về ứng dụng SonicWall, để cài đặt một backdoor, truy cập các tệp và email và di chuyển theo chiều ngang vào mạng của tổ chức nạn nhân".
Công ty cho biết rằng nguy cơ bị tấn công bằng mã độc tống tiền (ransomware) là sắp xảy ra, nhưng Giám đốc điều hành Coveware - Bill Siegel - đã xác nhận cảnh báo của CISA nói rằng chiến dịch vẫn đang diễn ra. CISA khuyến cáo người dùng và quản trị viên xem lại thông báo bảo mật SonicWall và nâng cấp thiết bị của họ lên chương trình cơ sở mới nhất hoặc ngắt kết nối ngay lập tức tất cả các thiết bị đã quá "cũ".
HelloKity là một ransomware do con người điều hành hoạt động kể từ tháng 11 năm 2020, chủ yếu được biết đến với việc mã hóa hệ thống của CD Projekt Red và tuyên bố đã đánh cắp mã nguồn của Cyberpunk 2077, Witcher 3, Gwent và các trò chơi khác.
Mặc dù lỗi bị lạm dụng để xâm phạm các sản phẩm chưa được vá, EOL SMA và SRA không được tiết lộ trong cảnh báo của CISA hoặc thông báo của SonicWall, nhà nghiên cứu bảo mật của CrowdStrike, Heather Smith đã nói với BleepingComputer ngày hôm qua rằng lỗ hổng được nhắm mục tiêu được theo dõi là CVE-2019-7481.
"Việc khai thác này nhắm vào một lỗ hổng đã biết từ lâu đã được vá trong các phiên bản firmware mới hơn được phát hành vào đầu năm 2021", SonicWall cho biết trong một tuyên bố gửi qua email.
Tuy nhiên, Heather Smith và Hanno Heinrichs của CrowdStrike cho biết trong một báo cáo được công bố vào tháng trước rằng "Các nhóm ứng phó sự cố của CrowdStrike Services đã xác định các tác nhân eCrime sử dụng lỗ hổng SonicWall VPN cũ hơn, CVE-2019-7481, ảnh hưởng đến các thiết bị Truy cập từ xa an toàn (SRA) 4600".
Babuk ransomware cũng đang nhắm mục tiêu đến các VPN SonicWall có khả năng dễ bị tấn công CVE-2020-5135. Lỗ hổng này đã được vá vào tháng 10 năm 2020 nhưng nó vẫn bị "lạm dụng nhiều bởi các nhóm ransomware ngày nay, theo Coveware.
Mandiant đã theo dõi những mối đe dọa từ UNC2447 cũng đã khai thác lỗi zero-day CVE-2021-20016 trong các thiết bị VPN SonicWall SMA 100 Series để triển khai một dòng ransomware mới có tên FiveHands (một biến thể DeathRansom giống như HelloKitty).
Các cuộc tấn công của họ nhắm vào nhiều mục tiêu ở Bắc Mỹ và châu Âu trước khi SonicWall phát hành các bản vá lỗi vào cuối tháng 2 năm 2021 .
Zero-day tương tự cũng đã bị lạm dụng vào tháng 1 trong các cuộc tấn công nhắm vào hệ thống nội bộ của SonicWall và sau đó bị khai thác bừa bãi trong tự nhiên.
Các nhà phân tích mối đe dọa của Mandiant đã phát hiện ra ba lỗ hổng zero-day khác trong các sản phẩm Bảo mật Email (ES) tại chỗ và lưu trữ của SonicWall vào tháng ba.
Ba zero-day này cũng đã được một nhóm theo dõi Mandiant là UNC2682 tích cực khai thác các hệ thống cửa sau sử dụng web shell của BEHINDER, cho phép chúng di chuyển ngang qua mạng của nạn nhân và truy cập email và tệp.
Các nhà nghiên cứu của Mandiant cho biết vào thời điểm đó: "Kẻ thù đã tận dụng những lỗ hổng này, với kiến thức sâu sắc về ứng dụng SonicWall, để cài đặt một backdoor, truy cập các tệp và email và di chuyển theo chiều ngang vào mạng của tổ chức nạn nhân".
Theo BleepingComputer
Chỉnh sửa lần cuối bởi người điều hành: