Forscher des Cybersicherheitsunternehmens Volexity, der Bedrohungsakteur, heißt DriftingCloud, exp Die CVE-2022-1040 kämpft seit Anfang März gegen eine Art namenlose Entitäten. Es neigte dazu, die Authentifizierung zu umgehen und willkürlichen Code auf den Endpunkten der Opfer zu verteilen. Der Fehler betrifft das Benutzerportal und den Webadmin der Sophos Firewall, und die Bedrohungsakteure haben es geschafft, Webshell-Hintertüren und andere Malware einzuschleusen.
Am 2. Tag der Entdeckung war der Kompromiss einst energisch und der Bedrohungsakteur war einst distanziert in der Community und gab den Forschern einen seltsamen und wunderbaren Einblick in die Funktionsweise eines APT. Die Schlussfolgerung aus dieser Beobachtung ist, dass die Gemeinschaft einst „verfeinert“ war und sich tapfer bemühte, unentdeckt zu bleiben.
Malware der zweiten Stufe
Unter anderem blendete die Community ihre Seitenbesucher ein, indem sie sich Zugriff auf die installierte Webshell durch Anfragen an die legitime Datei „login.jps“ verschaffte “, meldete BleepingComputer.
„Auf den ersten Blick mag dies wie ein Brute-Power-Anmeldeversuch im Raum einer Interaktion mit einer Hintertür erscheinen. Die effizientesten zuverlässigen Teile, die außerhalb des Konventionellen innerhalb der Protokolldaten aussahen, waren die Referrer-Werte und die Antwort-Problemcodes“, erklärte Volexity in seiner Zusammenfassung.
Nach dem Zugang zur Zielgemeinschaft, der Bedrohung Der Schauspieler zog um, um drei sichere Malware-Haushalte zu installieren – PupyRAT, Pantegana und Sliver. Alle drei sind geneigt, Zugang zu Fernzugriff zu erhalten, und stehen öffentlich zur Verfügung.
Der Fix für CVE-2022-1040 ist jetzt seit Monaten verfügbar, und den Benutzern wird empfohlen, angesichts dessen sofort zu patchen seine Schweregradbewertung beträgt 9,8.
Es ist
Unter anderem blendete die Community ihre Seitenbesucher ein, indem sie sich Zugriff auf die installierte Webshell durch Anfragen an die legitime Datei „login.jps“ verschaffte “, meldete BleepingComputer.
„Auf den ersten Blick mag dies wie ein Brute-Power-Anmeldeversuch im Raum einer Interaktion mit einer Hintertür erscheinen. Die effizientesten zuverlässigen Teile, die außerhalb des Konventionellen innerhalb der Protokolldaten aussahen, waren die Referrer-Werte und die Antwort-Problemcodes“, erklärte Volexity in seiner Zusammenfassung.
„Auf den ersten Blick mag dies wie ein Brute-Power-Anmeldeversuch im Raum einer Interaktion mit einer Hintertür erscheinen. Die effizientesten zuverlässigen Teile, die außerhalb des Konventionellen innerhalb der Protokolldaten aussahen, waren die Referrer-Werte und die Antwort-Problemcodes“, erklärte Volexity in seiner Zusammenfassung.
Nach dem Zugang zur Zielgemeinschaft, der Bedrohung Der Schauspieler zog um, um drei sichere Malware-Haushalte zu installieren – PupyRAT, Pantegana und Sliver. Alle drei sind geneigt, Zugang zu Fernzugriff zu erhalten, und stehen öffentlich zur Verfügung.
Der Fix für CVE-2022-1040 ist jetzt seit Monaten verfügbar, und den Benutzern wird empfohlen, angesichts dessen sofort zu patchen seine Schweregradbewertung beträgt 9,8.
Es ist
Der Fix für CVE-2022-1040 ist jetzt seit Monaten verfügbar, und den Benutzern wird empfohlen, angesichts dessen sofort zu patchen seine Schweregradbewertung beträgt 9,8.
Es ist
Es ist
Sophos,Firewall
