网络安全和基础设施安全局(CISA)发布公告提醒攻击者正在针对 SonicWall SMA SRA 攻击设备中发现的漏洞。一些安全公司指出,攻击者是HelloKitty勒索软件团伙。
正如 CISA 描述的是,攻击者可以利用这个安全漏洞作为勒索软件攻击的一部分。CISA 敦促用户和管理员 SonicWall 设备升级到最新版本或断开所有报废设备的网络连接。
SonicWall 发布紧急安全通知,通知用户有针对性的勒索软件攻击,风险迫在眉睫。Coveware 首席执行官 Bill Siegel 也证实了 CISA 警告称,攻击活动正在进行中。
HelloKitty
尽管 CISA 和 SonicWall 没有透露攻击者的身份,但安全公司都说是 HelloKitty 组织在过去几周一直在利用这个漏洞。
CrowdStrike 也证实了包括 在内的许多攻击者都在使用这个漏洞HelloKitty。CrowdStrike 安全研究员 Heather Smith 表示用于攻击 SMA 和 SRA 的漏洞是 CVE-2019-7481,上个月 CrowdStrike 确定了利用漏洞进行攻击的事件。
HelloKitty 自2020年 11 月以来非常活跃,它被盗 Cyberpunk 2077、Witcher 3、Gwent 以其他游戏的源代码而闻名。
SonicWall 表示攻击使用较早的漏洞,并在 2021 年初发布的新版本更新中修复。
根据 Coveware 的报告,Babuk 勒索软件仍在针对存在漏洞的 SonicWall vpn 攻击 。该漏洞于2020年 10 月修复,但根据 Coveware 的说法,直到现在仍然“被勒索软件组织严重滥用”。
勒索软件
Mandiant 跟踪的名字叫 UNC2447 的攻击组织正在使用 SonicWall SMA 100 系列虚拟专用网设备 CVE-2021-20016 零日漏洞部署一种叫 FiveHands 新型勒索软件。
2021 年 2 月下旬 SonicWall 补丁发布前,UNC2447 攻击北美和欧洲的许多目标。
同样的零日漏洞也在 1 月针对 SonicWall 内部系统的攻击被使用,后来在野外使用。
3 月份,Mandiant 威胁分析师在 SonicWall 在电子邮件安全产品中发现了另外三个零日漏洞。这三个零日漏洞也被 Mandiant 发现 UNC2682 攻击组织正在积极利用发动攻击。
Mandiant 研究人员说:“攻击者利用这些漏洞贡献 SonicWall 安装后门,窃取文件和电子邮件,并横向移动到受害组织网络中的其他主机”。
参考来源:BleepingComputer