Sophos Güvenlik Duvarı’nda ilk olarak Mart ayının sonlarında keşfedilen ve hemen ardından yamalanan bir güvenlik açığı, yamanın yayınlanmasından önceki haftalarda bir Çin gelişmiş kalıcı tehdidi (APT) tarafından istismar ediliyordu.
DriftingCloud olarak bilinen tehdit aktörü siber güvenlik firması Volexity’den araştırmacılar, Mart ayının başından beri bir dizi isimsiz varlığa karşı CVE-2022-1040’tan yararlandı. Kimlik doğrulamasını atlamak ve kurbanların uç noktalarında rastgele kod çalıştırmak için kullandı. Kusur, Sophos Güvenlik Duvarı’nın Kullanıcı Portalı ve Web Yöneticisi’ni etkiliyor ve tehdit aktörleri web kabuğu arka kapıları ve diğer kötü amaçlı yazılımları yüklemeyi başardı.
Keşif anında, uzlaşma hala etkindi ve tehdit aktörü hala ağda hareket ediyordu ve bu da araştırmacılara bir APT’nin işleyişine dair benzersiz bir fikir veriyordu. Bu gözlemin sonucu, grubun “sofistike” olduğu ve fark edilmemek için yiğitçe bir çaba sarf ettiğidir.
İkinci aşama kötü amaçlı yazılım
BleepingComputer’ın bildirdiğine göre grup, diğer şeylerin yanı sıra, yasal “login.jps” dosyasına yapılan istekler aracılığıyla kurulu web kabuğuna erişerek trafiğini harmanladı.
“İlk bakışta bu, bir arka kapıyla etkileşim yerine kaba kuvvetle giriş yapma girişimi gibi görünebilir. Günlük dosyalarında olağan dışı görünen tek gerçek unsur, yönlendiren değerler ve yanıt durum kodlarıydı, “Volexity yazısında açıkladı.
Hedef ağa eriştikten sonra tehdit aktörü, PupyRAT, Pantegana ve Sliver olmak üzere üç farklı kötü amaçlı yazılım ailesi kurmak için harekete geçti. Üçü de uzaktan erişim için kullanılır ve herkese açıktır.
CVE-2022-1040 için düzeltme aylardır mevcut ve kullanıcıların, önem puanı 9,8 olduğu için hemen düzeltme yapmaları önerilir.
Yakın zamanda Sophos Birleşik Tehdit Yönetimi cihazlarındaki iki yüksek önemdeki güvenlik açığını gideren Sophos ekibi için yoğun bir çeyrek oldu: CVE-2022-0386 ve CVE-2022-0652.
Sophos, İngiltere merkezli bir siber güvenlik ve ağ güvenliği yazılımı geliştiricisidir ve çoğunlukla 5.000’e kadar çalışanı olan kuruluşlar için güvenlik yazılımına odaklanmıştır. 1985’te kuruldu, ancak 1990’ların sonunda siber güvenliğe yöneldi.
2019 yılında ABD merkezli özel sermaye şirketi Thoma Bravo tarafından yaklaşık 3,9 milyar dolar (hisse başına 7,40 dolar) karşılığında satın alındı.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
