Китайская APT-группа DriftingCloud эксплуатирует уязвимость с начала марта 2022 года.
На этой неделе ИБ-компания Volexity выпустила отчет, согласно которому критическая уязвимость нулевого дня в межсетевых экранах Sophos эксплуатировалась китайскими хакерами за несколько недель до выхода исправления.
25 марта 2022 года компания Sophos опубликовала уведомление безопасности об уязвимости обхода аутентификации CVE-2022-1040 в User Portal и Webadmin межсетевых экранов Sophos, позволяющей удаленно выполнить код на уязвимой системе. Спустя три дня компания сообщила, что киберпреступники уже эксплуатируют ее в атаках на организации в странах Южной Азии.
Теперь же исследователи Volexity рассказали об атаках китайской APT-группы DriftingCloud, эксплуатирующей данную уязвимость с начала марта 2022 года. То есть, хакеры вооружились ею как минимум за три недели до выхода исправления.
Как сообщили исследователи, в марте они зафиксировали вредоносную активность с участием межсетевого экрана Sophos в сети одного из клиентов Volexity. Как оказалось, злоумышленники взломали межсетевой экран с целью установить web-оболочки (бэкдоры) и вредоносное ПО, позволяющее скомпрометировать внешние системы за пределами сети, защищенной межсетевым экраном Sophos.
Когда Volexity начала свое расследование, хакеры все еще были активными, и исследователи могли отслеживать каждый их шаг. Злоумышленники пытались скрыть свой трафик, получая доступ к web-оболочкам с помощью запросов к легитимному файлу login.jsp.
Копнув глубже, исследователи обнаружили, что хакеры использовали фреймворк Behinder, использующийся и другими китайскими APT-группами, эксплуатирующими уязвимость CVE-2022-26134 в серверах Confluence.
По словам экспертов, получение доступа к межсетевому экрану Sophos было первым этапом атаки, благодаря которому злоумышленники могли осуществлять атаки «человек посередине» путем модифицирования DNS-ответов для определенных web-сайтов, управляемых атакуемой компанией. Это позволяло им перехватывать пользовательские учетные данные и cookie-файлы для административного доступа к системе управления контентом (CMS).
Получив доступ к страницам администрирования, хакеры установили плагин File Manager для управления файлами сайта (загрузки, выгрузки, удаления, редактирования). Имея доступ к web-серверу, DriftingCloud устанавливала трояны для удаленного доступа PupyRAT, Pantegana и Sliver.