Hacker nutzen SonicWall Zero-Day Bug in FiveHands Ransomware-Attacken aus

Cyber Security News

Eine “aggressive”, finanziell motivierte Bedrohungsgruppe nutzte eine Zero-Day-Schwachstelle in SonicWall VPN-Appliances aus, bevor diese vom Unternehmen gepatcht wurde, um einen neuen Stamm von Ransomware namens FIVEHANDS einzusetzen.

Die Gruppe, die von der Cybersecurity-Firma Mandiant als UNC2447 identifiziert wurde, nutzte eine “unsachgemäße SQL-Befehlsneutralisierung” im SSL-VPN-Produkt SMA100 (CVE-2021-20016, CVSS-Score 9.8) aus, die es einem nicht authentifizierten Angreifer ermöglicht, Remote-Code-Ausführung zu erreichen.

“UNC2447 monetarisiert Eindringlinge, indem er seine Opfer zunächst mit der Ransomware FIVEHANDS erpresst und dann aggressiv Druck ausübt, indem er mit Medienaufmerksamkeit droht und Opferdaten in Hackerforen zum Verkauf anbietet”, so die Forscher von Mandiant. “UNC2447 wurde bei Angriffen auf Organisationen in Europa und Nordamerika beobachtet und hat durchweg fortschrittliche Fähigkeiten gezeigt, um sich der Erkennung zu entziehen und die Forensik nach dem Eindringen zu minimieren.”

[Blocked Image: https://thehackernews.com/images/-J2_tCNGDMKA/YHc_zdc4MhI/AAAAAAAA3wo/gfFnHKGV_gcrTkZ3sOMoDg5N-wg_cKOGQCLcBGAsYHQ/s300-e100/thn-300-4.png]

CVE-2021-20016 ist die gleiche Zero-Day-Schwachstelle, die laut dem in San Jose ansässigen Unternehmen von “hochentwickelten Bedrohungsakteuren” ausgenutzt wurde, um einen “koordinierten Angriff auf seine internen Systeme” Anfang dieses Jahres zu inszenieren. Am 22. Januar enthüllte The Hacker News exklusiv, dass SonicWall durch die Ausnutzung von “wahrscheinlichen Zero-Day-Schwachstellen” in seinen Fernzugriffsgeräten der SMA 100-Serie angegriffen wurde.

Eine erfolgreiche Ausnutzung der Schwachstelle würde einem Angreifer die Möglichkeit geben, auf Anmeldedaten sowie Sitzungsinformationen zuzugreifen, die dann verwendet werden könnten, um sich bei einer anfälligen, ungepatchten Appliance der SMA 100-Serie anzumelden.

Laut der FireEye-Tochtergesellschaft sollen die Einbrüche im Januar und Februar 2021 stattgefunden haben, wobei der Angreifer die Malware namens SombRAT verwendete, um die FIVEHANDS-Ransomware zu installieren. Es ist erwähnenswert, dass SombRAT im November 2020 von BlackBerry-Forschern in Verbindung mit einer Kampagne namens CostaRicto entdeckt wurde, die von einer Söldner-Hackergruppe durchgeführt wurde.

[Blocked Image: https://thehackernews.com/images/-VPdopHKQm-E/YHc_0fLCVlI/AAAAAAAA3w0/c2kzWXa0ALMLtjaAeSkI0cc7-FjPV3IswCLcBGAsYHQ/s728-e100/thn-728-4.png]

UNC2447-Angriffe mit Ransomware-Infektionen wurden erstmals im Oktober 2020 in freier Wildbahn beobachtet, wobei zunächst Ziele mit der Ransomware HelloKitty kompromittiert wurden, bevor diese im Januar 2021 gegen FIVEHANDS ausgetauscht wurde. Übrigens sind beide Ransomware-Stämme, die in C++ geschrieben sind, Neuschreibungen einer anderen Ransomware namens DeathRansom.

“Basierend auf technischen und zeitlichen Beobachtungen von HelloKitty- und FIVEHANDS-Einsätzen könnte HelloKitty von Mai 2020 bis Dezember 2020 und FIVEHANDS seit etwa Januar 2021 von einem übergreifenden Partnerprogramm verwendet worden sein”, so die Forscher.

FIVEHANDS unterscheidet sich von DeathRansom und HelloKitty auch durch die Verwendung eines Nur-Speicher-Droppers und zusätzlicher Funktionen, die es ihm ermöglichen, Befehlszeilenargumente zu akzeptieren und den Windows Restart Manager zu nutzen, um eine gerade verwendete Datei vor der Verschlüsselung zu schließen.

Die Enthüllung kommt weniger als zwei Wochen, nachdem FireEye drei bisher unbekannte Schwachstellen in der E-Mail-Sicherheitssoftware von SonicWall aufgedeckt hat, die aktiv ausgenutzt wurden, um eine Web-Shell für einen Backdoor-Zugang zum Opfer zu installieren. FireEye verfolgt diese bösartige Aktivität unter dem Namen UNC2682.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com