黑客利用五手勒索软件攻击中的SonicWall零日漏洞

在SonicWall VPN设备的零日漏洞被该公司修补之前，一个出于财务动机的“激进”威胁组织利用了该漏洞，部署了一种名为FIVEHANDS的新型勒索软件。

该组织被网络安全公司Mandiant追踪为UNC2447，利用SSL-VPN SMA100产品（CVE-2021-20016，CVSS评分9.8）中的“不当SQL命令中和”缺陷，允许未经验证的攻击者实现远程代码执行。

Mandiant的研究人员说：“UNC2447通过先用FIVEHANDS勒索软件勒索受害者，然后通过媒体关注的威胁积极施加压力，并在黑客论坛上出售受害者数据，从而将入侵行为货币化。”。“据观察，UNC2447以欧洲和北美的组织为目标，并一直显示出先进的能力，能够逃避检测并最大限度地减少入侵后的取证。”

CVE-2021-20016是总部位于圣何塞的这家公司表示今年早些时候被“复杂的威胁行为体”利用，对其内部系统发动“协调攻击”的同一个零日。1月22日，《黑客新闻》独家披露，SonicWall通过利用其SMA 100系列远程访问设备中的“可能的零日漏洞”而被攻破。

成功利用该漏洞将使攻击者能够访问登录凭据以及会话信息，然后这些信息可用于登录到易受攻击的未修补SMA 100系列设备。

根据FireEye的子公司，入侵据说发生在一月和2021年2月，威胁演员使用一个叫SunBRAT的恶意软件来部署FireSand RunSube。值得注意的是，SombRAT是在2020年11月由黑莓研究人员与一个雇佣兵黑客组织发起的名为Costarito的活动一起发现的。

Un2447攻击涉及赎金感染首次观察到在野外2020年10月，最初妥协目标与HelokyTy勒索，然后交换它在Fiffand 2021年1月。顺便说一下，两个RANSOWREST菌株，用C++编写，是另一个被称为DyStRANSOM的勒索软件的改写。

研究人员说：“基于HeloKoTy和Fiffand部署的技术和时间观察，HelokkyTy可能在2020年5月至2020年12月由一个整体从属项目使用，自2021年1月起就开始使用。”

FIVEHANDS与Deatransom和HelloKitty的另一个不同之处在于，它使用了一个仅限内存的滴管和其他功能，允许它接受命令行参数，并在加密之前利用Windows重新启动管理器关闭当前正在使用的文件。

FireEye在不到两周前泄露了SonicWall电子邮件安全软件中的三个以前未知的漏洞，这些漏洞被积极利用，以部署一个用于后门访问受害者的网络外壳。FireEye正在以UNC2682的名义追踪这一恶意活动。