En sårbarhet i Sophos brandvägg, som först upptäcktes i slutet av mars och korrigerades strax efter, utnyttjades av ett kinesiskt avancerad ihållande hot (APT) veckorna innan patchen släpptes, visar rapporter.
Forskare vid cybersäkerhetsföretaget Volexity, hotaktören, känd som DriftingCloud, har utnyttjat CVE-2022-1040 sedan början av mars mot olika anonyma enheter. Han använde den för att kringgå autentisering och exekvera godtycklig kod på offrens terminaler. Felet påverkar användarportalen Sophos Firewall och Web Admin, och hotaktörer lyckades installera Webshell-bakdörrar och annan skadlig programvara.
Vid tidpunkten för upptäckten var kompromissen fortfarande aktiv och hotaktören rörde sig fortfarande runt i nätverket, vilket gav forskare en unik inblick i hur en APT fungerar. Uttaget från denna iakttagelse är att gruppen var "sofistikerad" och gjorde en tapper ansträngning för att inte bli upptäckt.
Andra steget skadlig programvara
Bland annat förvrängde gruppen sin trafik genom att komma åt det installerade webbskalet via förfrågningar till den legitima "login.jps"-filen, rapporterade BleepingComputer.
"Vid första anblicken kan det här se ut som ett brute force-inloggningsförsök snarare än en bakdörrsinteraktion. De enda verkliga sakerna som var utöver det vanliga i loggfilerna var referensvärdena och donglar. "Svarsstatus, förklarade Volexity i dess artikel.
Efter att ha fått tillgång till målnätverket beslutade hotaktören att installera tre separata skadliga programfamiljer: PupyRAT, Pantegana och Sliver. Alla tre används för fjärråtkomst och är allmänt tillgängliga.
Korrigeringen för CVE-2022-1040 har varit tillgänglig i månader och användare rekommenderas att fixa den omedelbart eftersom dess allvarlighetsgrad är 9.8.
Det har varit ett hektiskt kvartal för Sophos-teamet, som nyligen fixade två allvarliga sårbarheter i Sophos Unified Threat Management-apparater: CVE-2022-0386 och CVE-2022-0652.
Sophos är en brittisk baserad mjukvaruutvecklare för cybersäkerhet och nätverkssäkerhet, främst inriktad på säkerhetsprogramvara för organisationer med upp till 5000 1985 anställda. Det grundades 1990, men flyttade in i cybersäkerhet i slutet av XNUMX-talet.
2019 förvärvades det av det amerikanska riskkapitalbolaget Thoma Bravo för cirka 3.900 miljarder USD (7,40 USD per aktie).
Via: BleepingComputer (öppnas i en ny flik)