SonicWall Zero-Day Dieksploitasi oleh Ransomware Group Sebelum Ditambal

  • Whatsapp
view counter


Kerentanan zero-day yang diatasi oleh SonicWall dalam peralatan Secure Mobile Access (SMA) awal tahun ini dieksploitasi oleh grup kejahatan siber yang canggih dan agresif sebelum vendor merilis patch, unit Mandiant FireEye melaporkan pada hari Kamis.

Bacaan Lainnya

Selama setengah tahun terakhir, kelompok kejahatan dunia maya baru telah diamati menggunakan berbagai malware dan menggunakan taktik agresif untuk menekan korban ransomware agar melakukan pembayaran.

Disebut sebagai UNC2447, aktor ancaman memiliki motivasi finansial dan telah menunjukkan kemampuan canggih dalam serangan yang menargetkan organisasi di Eropa dan Amerika Utara, yang memungkinkannya untuk tetap tidak terdeteksi. Grup telah merusak alat keamanan, aturan firewall, dan setelan keamanan sistem.

Sejak November 2020, FireEye melaporkan, grup cyber telah menggunakan keluarga malware dan ransomware seperti Sombrat, FiveHands (varian yang ditulis ulang dari ransomware DeathRansom), dropper Warprism PowerShell, suar Cobalt Strike, dan FoxGrabber, tetapi aktivitasnya juga menunjukkan afiliasi ransomware HelloKitty dan RagnarLocker.

“Ketika ransomware berbasis afiliasi diamati oleh Mandiant, cluster yang tidak dikategorikan ditetapkan berdasarkan infrastruktur yang digunakan, dan dalam kasus UNC2447 didasarkan pada infrastruktur Sombrat dan Cobalt Strike Beacon yang digunakan di 5 intrusi antara November 2020 dan Februari 2021,” FireEye catatan.

Kelompok itu terlihat menyalahgunakan CVE-2021-20016, cacat injeksi SQL kritis dalam produk seri SonicWall Secure Mobile Access SMA 100, yang dapat memungkinkan penyerang jarak jauh yang tidak terautentikasi mengakses kredensial masuk dan informasi sesi, untuk kemudian masuk ke peralatan yang rentan.

Keberadaan kerentanan terungkap pada akhir Januari, ketika SonicWall memberi tahu pelanggan bahwa itu adalah kerentanan sistem internal menjadi sasaran dalam serangan yang mungkin mengeksploitasi kerentanan zero-day dalam produk akses jarak jauh aman perusahaan.

CVE-2021-20016 adalah ditambal oleh SonicWall pada awal Februari, tetapi FireEye mengatakan UNC2447 telah memanfaatkannya dalam serangannya sebelum perbaikan dirilis.

Tak lama setelah SonicWall mengungkapkan pelanggaran tersebut, beberapa individu anonim mengirim email ke SecurityWeek mengklaim perusahaan tersebut terkena ransomware dan bahwa penyerang telah mencuri kode sumber dan data pelanggan, tetapi tidak ada dari klaim tersebut yang telah dikonfirmasi hingga saat ini.

Adapun malware yang digunakan oleh UNC2447, pintu belakang Sombrat telah diamati dalam intrusi ransomware FiveHands, menunjukkan bahwa keduanya digunakan oleh musuh yang sama. Sombrat awalnya dirinci pada November 2020 sebagai dipekerjakan oleh kelompok kriminal spionase yang disewa.

Ditulis dalam C ++ modern dan diatur sebagai kumpulan plugin yang dapat dioperasikan, Sombrat dapat mengambil dan menjalankan plugin dari server perintah dan kontrol (C&C). Pintu belakang mendukung lusinan perintah, yang sebagian besar memungkinkan pelaku ancaman untuk mengubah file penyimpanan terenkripsi dan mengkonfigurasi ulang implan.

Mampu menghindari deteksi titik akhir, dropper Warprism PowerShell sebelumnya diamati mengirimkan Suncrypt, muatan Cobalt Strike, dan Mimikatz, dan memuat muatan langsung ke memori. Utilitas baris perintah Foxgrabber dapat memanen kredensial Firefox dan sebelumnya terlihat di intrusi ransomware Darkside. Implan HTTPSSTAGER Cobalt Strike Beacon digunakan untuk kegigihan, untuk memastikan komunikasi C&C.

Selain itu, UNC2447 diamati menggunakan berbagai alat selama tahap pengintaian dan eksfiltrasi intrusi, termasuk Adfind, Bloodhound, Mimikatz, PChunter, RClone, RouterScan, S3Browser, Zap, dan 7zip.

Ditulis dalam C ++, ransomware FiveHands tampaknya merupakan varian DeathRansom yang ditulis ulang, karena banyak kesamaan, tetapi juga menunjukkan berbagai kesamaan dengan ransomware HelloKitty, termasuk fakta bahwa ketiganya menggunakan kode yang sama untuk menghapus salinan bayangan volume.

“Mandiant mengamati ransomware Sombrat dan FiveHands oleh grup yang sama sejak Januari 2021. Meskipun kesamaan antara HelloKitty dan FiveHands sangat menonjol, ransomware dapat digunakan oleh grup yang berbeda melalui program afiliasi bawah tanah,” FireEye menyimpulkan.

Terkait: File di Perangkat QNAP NAS Dienkripsi dalam Serangan Ransomware Qlocker

Terkait: Cring Ransomware Menargetkan Organisasi Industri

Terkait: Lebih Banyak Geng Ransomware yang Menargetkan Server Pertukaran yang Rentan

Ionut Arghire adalah koresponden internasional untuk SecurityWeek.

Kolom Sebelumnya oleh Ionut Arghire:
Tag:



Source

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *