Windows Follina zero day ahora se usa para infectar PC con

En sårbarhet i Sophos brandvägg, som först upptäcktes i slutet av mars och korrigerades strax efter, utnyttjades av ett kinesiskt avancerad ihållande hot (APT) veckorna innan patchen släpptes, visar rapporter.

Forskare vid cybersäkerhetsföretaget Volexity, hotaktören, känd som DriftingCloud, har utnyttjat CVE-2022-1040 sedan början av mars mot olika anonyma enheter. Han använde den för att kringgå autentisering och exekvera godtycklig kod på offrens terminaler. Felet påverkar användarportalen Sophos Firewall och Web Admin, och hotaktörer lyckades installera Webshell-bakdörrar och annan skadlig programvara.

Vid tidpunkten för upptäckten var kompromissen fortfarande aktiv och hotaktören rörde sig fortfarande i nätverket, vilket gav forskare en unik inblick i hur en APT fungerar. Uttaget från denna iakttagelse är att gruppen var "sofistikerad" och gjorde en tapper ansträngning för att inte bli upptäckt.

Andra steget skadlig programvara

Entre otras cosas, el grupo mezcló su tráfico al acceder al webshell instalado a través de solicitudes al archivo legítimo «login.jps», informó BleepingComputer.

"Vid första anblicken kan detta tyckas vara ett brute-force inloggningsförsök snarare än en bakdörrsinteraktion. De enda riktiga sakerna som var utöver det vanliga i loggfilerna var benchmarks och donglar. 'Svarsstatus, förklarade Volexity i sin artikel.

Efter att ha fått tillgång till målnätverket beslutade hotaktören att installera tre separata skadliga programfamiljer: PupyRAT, Pantegana och Sliver. Alla tre används för fjärråtkomst och är allmänt tillgängliga.

Korrigeringen för CVE-2022-1040 har varit tillgänglig i månader och användare rekommenderas att fixa den omedelbart eftersom dess allvarlighetsgrad är 9.8.

Det har varit ett hektiskt kvartal för Sophos-teamet, som nyligen fixade två allvarliga sårbarheter i Sophos Unified Threat Management-apparater: CVE-2022-0386 och CVE-2022-0652.

Sophos är en brittisk baserad mjukvaruutvecklare för cybersäkerhet och nätverkssäkerhet, främst inriktad på säkerhetsprogramvara för organisationer med upp till 5000 1985 anställda. Det grundades 1990, men flyttade in i cybersäkerhet i slutet av XNUMX-talet.

2019 förvärvades det av det amerikanska riskkapitalbolaget Thoma Bravo för cirka 3.900 miljarder USD (7,40 USD per aktie).

Via: BleepingComputer (öppnas i en ny flik)

Dela detta