美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布公告提醒攻擊者正在針對 SonicWall SMA 100 系列設(shè)備和 SRA 設(shè)備中發(fā)現(xiàn)的漏洞進行攻擊。有安全公司指出，攻擊者為HelloKitty勒索軟件團伙。

正如 CISA 描述的那樣，攻擊者可以利用此安全漏洞作為勒索軟件攻擊的一部分。CISA 敦促用戶和管理員將 SonicWall 設(shè)備升級到最新版本或者斷開所有報廢設(shè)備的網(wǎng)絡(luò)連接。

SonicWall 發(fā)布緊急安全通知，通知用戶已經(jīng)存在有針對性的勒索軟件攻擊，風(fēng)險迫在迫在眉睫。Coveware 的首席執(zhí)行官 Bill Siegel 也證實了 CISA 的警告，稱攻擊活動正在進行中。

HelloKitty

盡管 CISA 和 SonicWall 沒有透露攻擊者的身份，但安全公司都表示是 HelloKitty 組織在過去幾周一直在利用該漏洞。

CrowdStrike 也證實很多攻擊者正在利用該漏洞，包括 HelloKitty。CrowdStrike 安全研究員 Heather Smith 表示用來攻擊 SMA 和 SRA 的漏洞是 CVE-2019-7481，上個月 CrowdStrike 確定了利用該漏洞進行攻擊的事件。

HelloKitty 自從 2020 年 11 月以來非常活躍，它以竊取 Cyberpunk 2077、Witcher 3、Gwent 和其他游戲的源代碼而聞名 。

SonicWall 表示攻擊利用的是較早的漏洞，而該漏洞已在 2021 年年初發(fā)布的新版本更新中進行了修復(fù)。

根據(jù) Coveware 的報告，Babuk 勒索軟件還在針對存在漏洞的 SonicWall vpn 進行攻擊 。該漏洞已于 2020 年 10 月被修補，但根據(jù) Coveware 的說法，直到現(xiàn)在仍然“被勒索軟件組織嚴(yán)重濫用”。

勒索軟件

Mandiant 跟蹤的名為 UNC2447 的攻擊組織正在利用 SonicWall SMA 100 系列虛擬專用網(wǎng)設(shè)備中的 CVE-2021-20016 零日漏洞部署了一種名為 FiveHands 的新型勒索軟件。

2021 年 2 月下旬 SonicWall 發(fā)布補丁之前，UNC2447 針對多個北美和歐洲的目標(biāo)發(fā)起攻擊。

同樣的零日漏洞也于 1 月份在針對 SonicWall 內(nèi)部系統(tǒng)的攻擊中被使用，后來被在野利用。

3 月份，Mandiant 的威脅分析人員在 SonicWall 的電子郵件安全產(chǎn)品中發(fā)現(xiàn)了另外三個零日漏洞。這三個零日漏洞也被 Mandiant 發(fā)現(xiàn) UNC2682 攻擊組織在積極利用發(fā)動攻擊。

Mandiant 的研究人員表示：“攻擊者利用這些漏洞，貢獻 SonicWall 后安裝后門、竊取文件和電子郵件，并且橫向移動到受害組織網(wǎng)絡(luò)中的其他主機”。

參考來源：BleepingComputer