Hacker versuchten es 2 Methoden zum Ausnutzen einer Zero-Day-Sicherheitsanfรคlligkeit in Sophos’ XG-Firewall, Sophos sagt jedoch, dass eine vorรผbergehende Korrektur vorgenommen wurde, die die Risiken minderte.
Angreifer versuchten ursprรผnglich, einen Trojaner in Netzwerke einzubauen, indem sie die Zero-Day-Sicherheitsanfรคlligkeit ausnutzten, aber dann auf Ransomware umgestellt.
Die XG-Firewalls, die einen Hotfix erhalten haben, konnten die Angriffe blockieren, einschlieรlich der Ransomware, die das Unternehmen als Ragnarok identifiziert.
Diese krypto-sperrende Malware wurde erstmals im Januar entdeckt, als die Sicherheitsfirma FireEye einen Bericht darรผber verรถffentlichte, Zu diesem Zeitpunkt versuchten die Betreiber, Fehler in den ADC- und Gateway-Servern von Citrix auszunutzen.
Sophos entdeckte die erste Welle dieser Angriffe im April, als die Hacker versuchten, eine Zero-Day-SQL-Injection-Schwachstelle in den XG-Firewall-Produkten auszunutzen.
CVE-2020-12271, erlaubte den Angreifern, auf den integrierten PostgreSQL-Datenbankserver der Firewall zuzugreifen, Anschlieรend kรถnnen die Hacker eine einzelne Zeile Linux-Code in Datenbanken einfรผgen, um Malware in anfรคlligen Netzwerken zu installieren.
Die Angreifer versuchten, einen Trojaner namens Asnarรถk zu pflanzen, Dadurch kรถnnen Bedrohungsakteure Benutzernamen und gehashte Passwรถrter stehlen.
Als die Analysten von Sophos bemerkten, dass sich die Angriffe abspielten, stellten sie eine vorรผbergehende Lรถsung fรผr ihre Kunden bereit.
Die Hacker versuchten dann, die Taktik zu wechseln.
Wรคhrend der ersten Angriffe im April, the hackers left behind what Sophos calls a “backup channel” and other malicious files that would allow the attackers to re-enter a network if they had been detected and blocked.
Als Sophos den ersten Firewall-Angriff mit einem Hotfix blockierte, Die Hacker versuchten, die EternalBlue-Sicherheitsanfรคlligkeit in รคlteren Versionen von Microsoft Windows und der DoublePulsar-Backdoor-Malware zu nutzen, um erneut in Netzwerke einzutreten und die Ragnarok-Ransomware zu installieren.
Der Hotfix verhinderte, dass die Hacker diesen neueren Angriff ausfรผhren konnten, da die schรคdlichen Dateien deaktiviert wurden.
Quelle: https://www.instagram.com/p/CAiSyUZAP6J/
