中国黑客利用Sophos防火墙零日漏洞攻击南亚实体

一位老练的中国高级持久性威胁（APT）参与者利用Sophos防火墙产品中的一个关键安全漏洞，渗透到一个未命名的南亚目标，这是一次高度针对性攻击的一部分。

Volexity在一份报告中说：“攻击者实现了一个有趣的web shell后门，创建了第二种形式的持久性，并最终对客户的员工发起攻击。”。“这些攻击旨在进一步破坏承载该组织面向公众网站的云托管web服务器。”

这家网络安全公司于2022年3月25日发布了该漏洞修补程序，指出该漏洞被滥用为“主要针对南亚地区的一小部分特定组织”，并已直接通知受影响的实体。

现在，据Volexity称，漏洞利用的早期证据始于2022年3月5日，当时它检测到异常网络活动，这些活动源自一位未具名客户的Sophos防火墙，该防火墙运行当时的最新版本，距离漏洞公开披露还有近三周的时间。

研究人员说：“攻击者利用防火墙进行中间人（MitM）攻击。”。“攻击者使用从这些MitM攻击中收集的数据来破坏防火墙所在网络之外的其他系统。”

防火墙入侵后的感染序列进一步导致使用Behinder web shell对安全软件的合法组件进行后门操作，可以从威胁行为人选择的任何URL远程访问该组件。

值得注意的是，本月早些时候，中国APT集团还利用Behinder web shell进行了一系列入侵，利用了Atlassian Confluence服务器系统（CVE-2022-26134）中的零日漏洞。

此外，据说攻击者在修改特定目标网站的DNS响应之前，创建了VPN用户帐户以便于远程访问—；主要是受害者的内容管理系统（CMS）—；目标是拦截用户凭据和会话cookie。

随后，对会话cookie的访问使恶意方能够控制WordPress网站并安装第二个名为IceScorpion的web shell，攻击者利用它在web服务器上部署三个开源植入物，包括PupyRAT、Pantegana和Sliver。

“漂移云是一种有效、装备精良且持续存在的威胁行为体，针对五个与毒药相关的目标。他们能够开发或购买零天漏洞攻击来实现其目标，在进入目标网络时对其有利。”

Sophos首席研究员Andrew Brandt表示：“攻击者利用该漏洞将恶意文件放入设备中，然后采取其他步骤触发设备停止，然后重新启动某些服务。”。“此步骤导致设备执行放置在那里的文件。”

Brandt补充道：“我们相信，这些攻击是一名专门的键盘攻击者利用反向工程设备固件人员的重要知识进行的。”。