Chinesische Hacker nutzten Zero-Day-Fehler in der Sophos Firewall für Angriff auf südasiatische Einrichtung aus

  • Ein ausgeklügelter chinesischer Advanced Persistent Threat (APT)-Akteur hat eine kritische Sicherheitslücke in der Sophos Firewall ausgenutzt, die Anfang des Jahres bekannt wurde, um im Rahmen eines gezielten Angriffs ein ungenanntes südasiatisches Ziel zu infiltrieren.

    „Der Angreifer implementierte[ed] eine interessante Web-Shell-Backdoor, erstellt[d] eine sekundäre Form der Persistenz, und schließlich starten[ed] Angriffe gegen die Mitarbeiter des Kunden“, so Volexity in einem Bericht. „Diese Angriffe zielten darauf ab, weiter in die in der Cloud gehosteten Webserver einzudringen, die die öffentlich zugänglichen Websites der Organisation hosten.

    Die fragliche Zero-Day-Schwachstelle wird als CVE-2022-1040 (CVSS-Score: 9.8) geführt und betrifft eine Schwachstelle bei der Umgehung der Authentifizierung, die zur Ausführung von beliebigem Code aus der Ferne genutzt werden kann. Sie betrifft die Sophos Firewall-Versionen 18.5 MR3 (18.5.3) und früher.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjaBbYTALewJvxPx8cnzv0FMFvygJ4ym5US2q-Uxw_N9KSMl8z0Z7pPOeXOEHgnJ9u00oLe7QZR55XMcwv60hQ_dIuT9MTSCTeu-C3cUe-RgpBF3_hTmoXh7ESgmtUaVloM9dS5jXLtkOLVeYSBrepZsVYuf3lxIAlCR4TsZhB-hFm_HGHwjkDsk9teXQ/s1600/Jira-ads.png]

    Das Cybersicherheitsunternehmen, das am 25. März 2022 einen Patch für die Schwachstelle veröffentlichte, wies darauf hin, dass die Schwachstelle dazu missbraucht wurde, „eine kleine Gruppe spezifischer Organisationen hauptsächlich in der südasiatischen Region anzugreifen“, und dass es die betroffenen Einrichtungen direkt benachrichtigt hatte.

    Laut Volexity gab es bereits am 5. März 2022 erste Hinweise auf eine Ausnutzung der Sicherheitslücke, als das Unternehmen anomale Netzwerkaktivitäten entdeckte, die von der Sophos Firewall eines ungenannten Kunden ausgingen, auf der die damals aktuelle Version installiert war, also fast drei Wochen vor der öffentlichen Bekanntgabe der Sicherheitslücke.

    „Der Angreifer nutzte den Zugriff auf die Firewall, um Man-in-the-Middle (MitM)-Attacken durchzuführen“, so die Forscher. „Der Angreifer nutzte die bei diesen MitM-Angriffen gesammelten Daten, um weitere Systeme außerhalb des Netzwerks, in dem sich die Firewall befand, zu kompromittieren.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjfKjGMxU9f1By4kZoaueFeICYJthIRyuvPWTxc8s0q2C7jWNX1Gnw6l06cNevtbWwc-WlR-RqbNxeIsdNPX2peEnO-wx8UlXLZt_DXhDA1SO-PFFO9ZBTJgHRcFERamkXbe2rC2UmykVCY8sMi4uQAmKGhBFdo0cmodi9751cbQW1T4L9-2SdlpXhr/s728-e100/cyber.jpg]

    Die Infektionssequenz nach dem Einbruch in die Firewall umfasste außerdem das Backdooring einer legitimen Komponente der Sicherheitssoftware mit der Behinder-Web-Shell, auf die der Angreifer von einer beliebigen URL aus zugreifen konnte.

    Es ist erwähnenswert, dass die Behinder-Web-Shell Anfang dieses Monats auch von chinesischen APT-Gruppen in einer separaten Reihe von Angriffen genutzt wurde, die eine Zero-Day-Schwachstelle in Atlassian Confluence Server-Systemen (CVE-2022-26134) ausnutzten.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Darüber hinaus soll der Angreifer VPN-Benutzerkonten erstellt haben, um den Fernzugriff zu erleichtern, bevor er DNS-Antworten für speziell angepeilte Websites – in erster Linie das Content Management System (CMS) des Opfers – veränderte, um Anmeldedaten und Sitzungscookies abzufangen.

    Der Zugriff auf die Sitzungscookies ermöglichte es dem Angreifer, die Kontrolle über die WordPress-Website zu übernehmen und eine zweite Web-Shell namens IceScorpion zu installieren, mit der er drei Open-Source-Implantate auf dem Webserver einsetzte, darunter PupyRAT, Pantegana und Sliver.

    „DriftingCloud ist ein effektiver, gut ausgerüsteter und hartnäckiger Bedrohungsakteur, der es auf Ziele im Zusammenhang mit fünf Giften abgesehen hat. Sie sind in der Lage, Zero-Day-Exploits zu entwickeln oder zu kaufen, um ihre Ziele zu erreichen, was den Ausschlag zu ihren Gunsten gibt, wenn es darum geht, Zugang zu den Zielnetzwerken zu erhalten.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com