Windows Follina zero day jest teraz używany do infekowania komputerów PC

Według doniesień luka w zaporze sieciowej Sophos, odkryta po raz pierwszy pod koniec marca i załatana wkrótce potem, była wykorzystywana przez chińskie zaawansowane trwałe zagrożenie (APT) na kilka tygodni przed opublikowaniem łaty.

Naukowcy z firmy Volexity zajmującej się cyberbezpieczeństwem, znanej jako DriftingCloud, wykorzystują CVE-2022-1040 od ​​początku marca przeciwko różnym anonimowym podmiotom. Wykorzystał go do ominięcia uwierzytelniania i wykonania dowolnego kodu na terminalach ofiar. Luka dotyczy portalu użytkowników Sophos Firewall i Web Admin, a cyberprzestępcy zdołali zainstalować backdoory Webshell i inne złośliwe oprogramowanie.

W momencie odkrycia kompromis był nadal aktywny, a podmiot zajmujący się zagrożeniem nadal poruszał się po sieci, dając naukowcom wyjątkowy wgląd w działanie APT. Wniosek z tej obserwacji jest taki, że grupa była „wyrafinowana” i podjęła dzielny wysiłek, aby nie zostać wykrytym.

Złośliwe oprogramowanie drugiego etapu

Grupa mieszała między innymi swój ruch, uzyskując dostęp do zainstalowanej powłoki internetowej za pośrednictwem żądań do legalnego pliku „login.jps”, donosi BleepingComputer.

„Na pierwszy rzut oka może się wydawać, że jest to próba logowania metodą brute-force, a nie interakcja backdoorem. Jedynymi prawdziwymi rzeczami, które były niezwykłe w plikach dziennika, były testy porównawcze i klucze sprzętowe. „Status reakcji”, wyjaśnił Volexity w swoim artykule.

Po uzyskaniu dostępu do sieci docelowej cyberprzestępca zdecydował się zainstalować trzy oddzielne rodziny złośliwego oprogramowania: PupyRAT, Pantegana i Sliver. Wszystkie trzy służą do zdalnego dostępu i są publicznie dostępne.

Poprawka dla CVE-2022-1040 jest dostępna od miesięcy i użytkownikom zaleca się jej natychmiastowe naprawienie, ponieważ jej wskaźnik ważności wynosi 9.8.

To był pracowity kwartał dla zespołu Sophos, który niedawno naprawił dwie luki o wysokim stopniu ważności w urządzeniach Sophos Unified Threat Management: CVE-2022-0386 i CVE-2022-0652.

Sophos to brytyjski producent oprogramowania do ochrony cyberbezpieczeństwa i sieci, który koncentruje się głównie na oprogramowaniu zabezpieczającym dla organizacji zatrudniających do 5000 pracowników. Został założony w 1985 roku, ale pod koniec lat 1990. przeniósł się do cyberbezpieczeństwa.

W 2019 roku została przejęta przez amerykańską firmę private equity Thoma Bravo za około 3.900 mld USD (7,40 USD za akcję).

Przez: BleepingComputer (Otwiera się w nowej karcie)

Udostępnij to