Sophos опублікувала відомості про серію кібератак на міжмережевих екранах Sophos XG
Sophos опублікувала відомості про серію кібератак на міжмережевих екранах Sophos XG
Sophos опублікувала відомості про серію кібератак на свої міжмережові екрани XG.
Минулого місяця стало відомо про експлуатацію вразливості нульового дня в міжмережевих екранах Sophos XG. За словами дослідників, дізнавшись про інцидент, виробник випустив екстрені оновлення безпеки, і атакуючі швидко змінили свою тактику, замінивши початкове корисне навантаження, інфостилер, здирницьким ПЗ. Як виявили дослідники, міжмережові екрани, на яких встановлено виправлення, блокували подальші спроби встановлення вимагання.
Початкові спроби кібератак було здійснено 22-26 квітня. Зловмисники проексплуатували вразливість (CVE-2020-12271) у міжмережевих екранах Sophos XG, що дозволяє здійснити SQL-ін'єкції. Атакуючі націлилися на вбудований сервер PostgreSQL та встановили на пристрій шкідливе ПЗ.
Як повідомляють фахівці Sophos, початковим корисним навантаженням був троян Asnarök, який збирає імена та паролі для доступу до міжмережевого екрану Sophos. Крім того, атакуючі залишали два файли, які відіграють роль бекдорів, що забезпечують контроль над пристроями.
Виробник швидко випустив екстрене оновлення, автоматично розіслане не всі вразливі пристрої, і зловмисники були змушені змінити свою тактику. Нова атака включає такі етапи:
-
EternalBlue – експлоїт для вразливості у Windows SMB для інфікування внутрішніх мереж, захищених міжмережевим екраном;
-
DoublePulsar – імплант для ядра Windows, що надає доступ до комп'ютерів у внутрішній мережі;
-
Ragnarok – здирницьке ПЗ.
За словами дослідників, нова тактика не спрацьовує. Випущене Sophos екстрене оновлення видаляє всі сліди шкідливих програм, у тому числі двох бекдорів, і в результаті фінальне шкідливе навантаження (вимагання) не встановлюється.
