Tin tặc nhắm vào Sophos Firewall để triển khai Ransomware

Tin tặc nhắm vào Sophos Firewall để triển khai Ransomware

May 25, 2020 | vietsunshine

Các tác nhân độc hại đang nhắm vào lỗ hổng zero-day trong các thiết bị Tường lửa Sophos XG để cố gắng triển khai ransomware, trong khi đó Sophos đã bắt đầu thực hiện các biện pháp để vô hiệu hóa cuộc tấn công.

Trong sự cố mà Sophos gọi là Asnarök, các hacker đã nhắm vào lỗ hổng SQL injection chưa biết trước đó để chèn một one-line command và tải xuống tập lệnh shell Linux để thực thi các lệnh tiếp theo và drop tập lệnh bổ sung, để duy trì và tạo kênh dự phòng.

Sophos đã được cảnh báo ngay sau khi cuộc tấn công bắt đầu và ngay lập tức có biện pháp, với một bản vá để giải quyết lỗ hổng được tung ra trong vài ngày.

Một trong những tập tin được những kẻ tấn công triển khai sẽ đóng vai trò là một “dead man switch”, để khởi động một cuộc tấn công ransomware khi một tệp cụ thể sẽ bị xóa trên tường lửa chưa được vá trong quá trình khởi động lại hoặc power-cycle, công ty bảo mật tiết lộ.

Bởi vì các bản vá được triển khai sẽ giải quyết lỗ hổng và loại bỏ mã độc mà không cần khởi động lại, cuộc tấn công ransomware không được kích hoạt. Nhận ra điều đó, hacker đã quyết định thay đổi một số tập lệnh shell được triển khai trước đó và thậm chí thay thế một trong số chúng bằng tải trọng ransomware.

“Vào thời điểm đó, những kẻ tấn công có ý định cung cấp phần mềm ransomware mà không yêu cầu tường lửa khởi động lại, nhưng Sophos đã thực hiện các bước bổ sung để can thiệp vào giai đoạn tấn công này,” công ty bảo mật cho biết.

Cuộc tấn công sau khai thác ban đầu sẽ bắt đầu với một trong các tập lệnh được triển khai trong giai đoạn thứ hai, có nghĩa là drop một Linux ELF binary vào filesystem. Đóng vai trò là dead man switch, tập tin tải xuống và thực thi một tập lệnh shell khác có tên patch.sh từ trang web ragnarokfromasgard[.]Com, Sophos giải thích.

Script sẽ thực hiện các tác vụ khác nhau, bao gồm phân tích nội dung của bộ đệm cache ARP của tường lửa, nơi lưu trữ địa chỉ IP và MAC của máy chủ lưu trữ trên mạng cục bộ. Tiếp theo, nó sẽ sử dụng danh sách để quét cổng 445/tcp trên máy chủ và xác định xem chúng có thể truy cập hệ thống Windows hay không.

Hơn nữa, một tên lừa đảo có tên “hotfix” sẽ xác định xem các máy đang chạy Windows 32 bit hay 64 bit,  sau đó cố gắng tận dụng khai thác EternalBlue và shellcode DoublePulsar để phân phối và thực thi DLL trực tiếp vào bộ nhớ (nhắm mục tiêu explorer.exe ).

DLL sau đó sẽ cố gắng tìm nạp một tải trọng thực thi từ 9sg [.]me qua cổng HTTP 81/tcp. Địa chỉ IP lưu trữ tên miền và phục vụ tải trọng hotfix có liên quan đến các cuộc tấn công năm 2018 và được liên kết với một tác nhân đe dọa được gọi là NOTROBIN.

Sau khi nhận ra rằng cái gọi là dead man switch không hoạt động, những kẻ tấn công đã thay thế một tập lệnh tải xuống một công cụ exfiltration có tên 2own với một tập lệnh được thiết lập để tải xuống tệp nhị phân ELF, lần lượt lấy phần mềm ransomware. Điều này đã được thực hiện trong một nỗ lực để di chuyển phần mềm ransomware lên trong chuỗi tấn công, Sophos giải thích.

Công ty bảo mật cũng lưu ý rằng khai thác EternalBlue được thực hiện trong cuộc tấn công này sẽ chỉ hoạt động đối với các phiên bản Windows 7 chưa được vá.

Nguồn: Hackers Attempted to Deploy Ransomware in Attacks Targeting Sophos Firewalls

Tags: , ,