Hackers hebben het geprobeerd 2 methoden om gebruik te maken van een zero-day kwetsbaarheid in Sophos’ XG-firewall, maar Sophos zegt dat het een tijdelijke oplossing heeft gevonden om de risico's te beperken.
Aanvallers probeerden oorspronkelijk een Trojaans paard in netwerken te planten door gebruik te maken van de zero-day kwetsbaarheid, maar daarna overgeschakeld op ransomware.
De XG-firewalls die een hotfix ontvingen, konden de aanvallen blokkeren, inclusief de ransomware, die het bedrijf identificeerde als Ragnarok.
Deze crypto-vergrendelende malware werd voor het eerst opgemerkt in januari, toen beveiligingsbedrijf FireEye er een rapport over publiceerde, opmerkend dat zijn operators destijds probeerden te profiteren van gebreken in de ADC- en gatewayservers van Citrix.
Sophos ontdekte de eerste golf van deze aanvallen in april toen de hackers probeerden te profiteren van een zero-day SQL-injectie-kwetsbaarheid in de XG-firewallproducten.
CVE-2020-12271, stond de aanvallers toe om de ingebouwde PostgreSQL-databaseserver van de firewall te targeten, vervolgens de hackers toestaan โโom een โโenkele regel Linux-code in databases te injecteren waarmee ze malware in kwetsbare netwerken kunnen planten.
De aanvallers probeerden een Trojan genaamd Asnarรถk te planten, waarmee actoren van bedreigingen gebruikersnamen en gehashte wachtwoorden kunnen stelen.
Toen Sophos-analisten de aanvallen opmerkten, haastten ze zich naar een tijdelijke oplossing voor haar klanten.
De hackers probeerden vervolgens van tactiek te veranderen.
Tijdens de eerste aanvallen in april, de hackers lieten achter wat Sophos noemt “back-upkanaal” en andere kwaadaardige bestanden die de aanvallers in staat zouden stellen opnieuw een netwerk binnen te gaan als ze waren gedetecteerd en geblokkeerd.
Toen Sophos de eerste firewall-aanval blokkeerde met een hotfix, de hackers probeerden gebruik te maken van de EternalBlue-kwetsbaarheid in oudere versies van Microsoft Windows en de DoublePulsar-backdoor-malware om opnieuw toegang te krijgen tot netwerken en de Ragnarok-ransomware te installeren.
Door de hotfix konden de hackers deze nieuwere aanval niet uitvoeren omdat de schadelijke bestanden waren uitgeschakeld.
Bron: https://www.instagram.com/p/CAiSyUZAP6J/
