Un sofisticado actor chino de amenazas persistentes avanzadas (APT) explotó una vulnerabilidad de seguridad crítica en el producto de firewall de Sophos que salió a la luz a principios de este año para infiltrarse en un objetivo no identificado del sur de Asia como parte de un ataque altamente dirigido.
«El atacante implementa[ed] una interesante puerta trasera web shell, cree[d] una forma secundaria de persistencia y, en última instancia, lanzar[ed] ataques contra el personal del cliente», Volexity dijo en un informe «Estos ataques tenían como objetivo violar aún más los servidores web alojados en la nube que alojan los sitios web públicos de la organización».
La falla de día cero en cuestión se rastrea como CVE-2022-1040 (puntuación CVSS: 9.8) y se refiere a una vulnerabilidad de omisión de autenticación que puede armarse para ejecutar código arbitrario de forma remota. Afecta a las versiones de Sophos Firewall 18.5 MR3 (18.5.3) y anteriores.
La empresa de ciberseguridad, que emitió un parche para la falla el 25 de marzo de 2022, señaló que se abusó de ella para «apuntar a un pequeño conjunto de organizaciones específicas principalmente en la región del sur de Asia» y que había notificado directamente a las entidades afectadas.
Ahora, según Volexity, las primeras pruebas de explotación de la falla comenzaron el 5 de marzo de 2022, cuando detectó una actividad de red anómala que se originaba en el Sophos Firewall de un cliente anónimo que ejecutaba la versión actualizada, casi tres semanas antes de la divulgación pública de la falla. vulnerabilidad.
«El atacante estaba usando el acceso al firewall para realizar ataques de intermediario (MitM)», dijeron los investigadores. «El atacante usó los datos recopilados de estos ataques MitM para comprometer sistemas adicionales fuera de la red donde residía el firewall».
La secuencia de infección posterior a la violación del cortafuegos implicó además la puerta trasera de un componente legítimo del software de seguridad con el Detrás shell web al que se puede acceder de forma remota desde cualquier URL que elija el actor de amenazas.
Es digno de mención que el shell web Behinder también fue aprovechado a principios de este mes por grupos APT chinos en un conjunto separado de intrusiones que explotan una falla de día cero en los sistemas Atlassian Confluence Server (CVE-2022-26134).
Además, se dice que el atacante creó cuentas de usuario de VPN para facilitar el acceso remoto, antes de pasar a modificar las respuestas de DNS para sitios web especialmente dirigidos, principalmente el sistema de gestión de contenido (CMS) de la víctima, con el objetivo de interceptar las credenciales de usuario y las cookies de sesión.
Posteriormente, el acceso a las cookies de sesión equipó a la parte malintencionada para tomar el control del sitio de WordPress e instalar un segundo shell web denominado HieloEscorpióncon el atacante usándolo para implementar tres implantes de código abierto en el servidor web, incluido cachorrito, Panteganay Astilla.
«DriftingCloud es un actor de amenazas efectivo, bien equipado y persistente que apunta cinco venenos-objetivos relacionados. Pueden desarrollar o comprar exploits de día cero para lograr sus objetivos, lo que inclina la balanza a su favor cuando se trata de ingresar a las redes de destino».