HelloKitty勒索软件针对SonicWall设备发起攻击
2021-07-18 22:01:03 Author: www.freebuf.com(查看原文) 阅读量:60 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美国国土安全部网络安全和基础设施安全局(CISA)发布公告提醒攻击者正在针对 SonicWall SMA 100 系列设备和 SRA 设备中发现的漏洞进行攻击

正如 CISA 描述的那样,攻击者可以利用此安全漏洞作为勒索软件攻击的一部分。CISA 敦促用户和管理员将 SonicWall 设备升级到最新版本或者断开所有报废设备的网络连接。

SonicWall 发布紧急安全通知,通知用户已经存在有针对性的勒索软件攻击,风险迫在迫在眉睫。Coveware 的首席执行官 Bill Siegel 也证实了 CISA 的警告,称攻击活动正在进行中。

HelloKitty

尽管 CISA 和 SonicWall 没有透露攻击者的身份,但安全公司都表示是 HelloKitty 组织在过去几周一直在利用该漏洞。

CrowdStrike 也证实很多攻击者正在利用该漏洞,包括 HelloKitty。CrowdStrike 安全研究员 Heather Smith 表示用来攻击 SMA 和 SRA 的漏洞是 CVE-2019-7481,上个月 CrowdStrike 确定了利用该漏洞进行攻击的事件

HelloKitty 自从 2020 年 11 月以来非常活跃,它以窃取 Cyberpunk 2077、Witcher 3、Gwent 和其他游戏的源代码而闻名 。

SonicWall 表示攻击利用的是较早的漏洞,而该漏洞已在 2021 年年初发布的新版本更新中进行了修复

根据 Coveware 的报告,Babuk 勒索软件还在针对存在漏洞的 SonicWall VPN 进行攻击 。该漏洞已于 2020 年 10 月被修补,但根据 Coveware 的说法,直到现在仍然“被勒索软件组织严重滥用”。

勒索软件

Mandiant 跟踪的名为 UNC2447 的攻击组织正在利用 SonicWall SMA 100 系列 VPN 设备中的 CVE-2021-20016 零日漏洞部署了一种名为 FiveHands 的新型勒索软件

2021 年 2 月下旬 SonicWall 发布补丁之前,UNC2447 针对多个北美和欧洲的目标发起攻击。

同样的零日漏洞也于 1 月份在针对 SonicWall 内部系统的攻击中被使用,后来被在野利用。

3 月份,Mandiant 的威胁分析人员在 SonicWall 的电子邮件安全产品中发现了另外三个零日漏洞。这三个零日漏洞也被 Mandiant 发现 UNC2682 攻击组织在积极利用发动攻击

Mandiant 的研究人员表示:“攻击者利用这些漏洞,贡献 SonicWall 后安装后门、窃取文件和电子邮件,并且横向移动到受害组织网络中的其他主机”。

参考来源

BleepingComputer


文章来源: https://www.freebuf.com/news/281186.html
如有侵权请联系:admin#unsafe.sh