HelloKitty勒索軟件針對SonicWall設備發起攻擊
責編:gltian |2021-07-21 10:01:32美國國土安全部網絡安全和基礎設施安全局(CISA)發布公告提醒攻擊者正在針對 SonicWall SMA 100 系列設備和 SRA 設備中發現的漏洞進行攻擊。有安全公司指出,攻擊者為HelloKitty勒索軟件團伙。
正如 CISA 描述的那樣,攻擊者可以利用此安全漏洞作為勒索軟件攻擊的一部分。CISA 敦促用戶和管理員將 SonicWall 設備升級到最新版本或者斷開所有報廢設備的網絡連接。
SonicWall 發布緊急安全通知,通知用戶已經存在有針對性的勒索軟件攻擊,風險迫在迫在眉睫。Coveware 的首席執行官 Bill Siegel 也證實了 CISA 的警告,稱攻擊活動正在進行中。
HelloKitty
盡管 CISA 和 SonicWall 沒有透露攻擊者的身份,但安全公司都表示是 HelloKitty 組織在過去幾周一直在利用該漏洞。
CrowdStrike 也證實很多攻擊者正在利用該漏洞,包括 HelloKitty。CrowdStrike 安全研究員 Heather Smith 表示用來攻擊 SMA 和 SRA 的漏洞是 CVE-2019-7481,上個月 CrowdStrike 確定了利用該漏洞進行攻擊的事件。
HelloKitty 自從 2020 年 11 月以來非常活躍,它以竊取 Cyberpunk 2077、Witcher 3、Gwent 和其他游戲的源代碼而聞名 。
SonicWall 表示攻擊利用的是較早的漏洞,而該漏洞已在 2021 年年初發布的新版本更新中進行了修復。
根據 Coveware 的報告,Babuk 勒索軟件還在針對存在漏洞的 SonicWall VPN 進行攻擊 。該漏洞已于 2020 年 10 月被修補,但根據 Coveware 的說法,直到現在仍然“被勒索軟件組織嚴重濫用”。
勒索軟件
Mandiant 跟蹤的名為 UNC2447 的攻擊組織正在利用 SonicWall SMA 100 系列 VPN 設備中的 CVE-2021-20016 零日漏洞部署了一種名為 FiveHands 的新型勒索軟件。
2021 年 2 月下旬 SonicWall 發布補丁之前,UNC2447 針對多個北美和歐洲的目標發起攻擊。
同樣的零日漏洞也于 1 月份在針對 SonicWall 內部系統的攻擊中被使用,后來被在野利用。
3 月份,Mandiant 的威脅分析人員在 SonicWall 的電子郵件安全產品中發現了另外三個零日漏洞。這三個零日漏洞也被 Mandiant 發現 UNC2682 攻擊組織在積極利用發動攻擊。
Mandiant 的研究人員表示:“攻擊者利用這些漏洞,貢獻 SonicWall 后安裝后門、竊取文件和電子郵件,并且橫向移動到受害組織網絡中的其他主機”。
參考來源
來源:FreeBuf.COM