Una vulnerabilità nel firewall di Sophos, scoperta per la prima volta alla fine di marzo e patchata subito dopo, è stata sfruttata da una minaccia persistente avanzata cinese (APT) nelle settimane precedenti al rilascio della patch, secondo i rapporti.

I ricercatori della società di sicurezza informatica Volexity, l'attore delle minacce, noto come DriftingCloud, ha sfruttato CVE-2022-1040 dall'inizio di marzo contro varie entità anonime. Lo ha usato per aggirare l'autenticazione ed eseguire codice arbitrario sui terminali delle vittime. Il difetto interessa il portale utente di Sophos Firewall e Web Admin e gli attori delle minacce sono riusciti a installare backdoor Webshell e altro malware.

Al momento della scoperta, il compromesso era ancora attivo e l'attore della minaccia si stava ancora muovendo nella rete, offrendo ai ricercatori una visione unica di come funziona un APT. La conclusione di questo avvistamento è che il gruppo era "sofisticato" e ha fatto un coraggioso sforzo per non essere scoperto.

Malware di seconda fase

Entre otras cosas, el grupo mezcló su tráfico accediendo al webshell instalado a través de solicitudes al archivo legítimo «login.jps», informó BleepingComputer.

"A prima vista, questo potrebbe sembrare un tentativo di accesso con la forza bruta piuttosto che un'interazione backdoor. Le uniche cose reali che erano fuori dall'ordinario nei file di registro erano benchmark e dongle. 'Stato della risposta, ha spiegato Volexity nel suo articolo.

Dopo aver ottenuto l'accesso alla rete di destinazione, l'attore delle minacce ha deciso di installare tre famiglie di malware separate: PupyRAT, Pantegana e Sliver. Tutti e tre sono utilizzati per l'accesso remoto e sono disponibili pubblicamente.

La correzione per CVE-2022-1040 è disponibile da mesi e si consiglia agli utenti di risolverla immediatamente poiché il suo punteggio di gravità è 9.8.

È stato un trimestre intenso per il team di Sophos, che ha recentemente risolto due vulnerabilità di elevata gravità nelle appliance Sophos Unified Threat Management: CVE-2022-0386 e CVE-2022-0652.

Sophos è uno sviluppatore di software di sicurezza informatica e di rete con sede nel Regno Unito, focalizzato principalmente su software di sicurezza per organizzazioni con un massimo di 5000 dipendenti. È stata fondata nel 1985, ma è passata alla sicurezza informatica alla fine degli anni '1990.

Nel 2019 è stata acquisita dalla società di private equity statunitense Thoma Bravo, per circa 3.900 miliardi di dollari (7,40 dollari per azione).

Via: BleepingComputer (si apre in una nuova scheda)

Condividi questo