ハッカーは試しました 2 ソフォスのゼロデイ脆弱性を悪用する方法’ XGファイアウォール, ソフォスは、リスクを軽減する一時的な修正を行ったと述べています.
攻撃者は当初、ゼロデイ脆弱性を悪用してネットワークにトロイの木馬を仕掛けようとしました, しかし、その後ランサムウェアに切り替えました.
修正プログラムを受け取ったXGファイアウォールは攻撃をブロックすることができました, ランサムウェアを含む, 会社はラグナロクとして識別しました.
この暗号ロックマルウェアは1月に最初に発見されました, セキュリティ会社FireEyeがそのレポートを公開したとき, その事業者がその時点でCitrixのADCとゲートウェイサーバーの欠陥を利用しようとしていたことに注意してください.
ソフォスは、ハッカーがXGファイアウォール製品のゼロデイSQLインジェクションの脆弱性を利用しようとした4月に、これらの攻撃の最初の波を検出しました.
CVE-2020-12271, 攻撃者がファイアウォールの組み込みのPostgreSQLデータベースサーバーを標的にすることを許可した, 次に、ハッカーがデータベースに単一行のLinuxコードを挿入できるようにします。これにより、ハッカーは脆弱なネットワーク内にマルウェアを仕掛けることができます。.
攻撃者はAsnarökと呼ばれるトロイの木馬を植えようとしました, 攻撃者がユーザー名とハッシュされたパスワードを盗むことを可能にする.
ソフォスのアナリストが展開する攻撃に気づき始めたとき、彼らは顧客に一時的な修正を急ぎました.
その後、ハッカーは戦術を切り替えようとしました.
4月の最初の攻撃中, ハッカーはソフォスが呼ぶものを置き去りにしました “バックアップチャネル” そして、それらが検出されてブロックされた場合に攻撃者がネットワークに再び入ることを可能にする他の悪意のあるファイル.
ソフォスがホットフィックスで最初のファイアウォール攻撃をブロックしたとき, ハッカーは、以前のバージョンのMicrosoft WindowsのEternalBlue脆弱性とDoublePulsarバックドアマルウェアを利用して、ネットワークに再び侵入し、Ragnarokランサムウェアを仕掛けようとしました.
ホットフィックスは悪意のあるファイルを無効にするため、ハッカーがこの新しい攻撃を実行するのを防ぎました.
ソース: https://www.instagram.com/p/CAiSyUZAP6J/
