مرکز تخصصی آپا
خانواده باجافزاری HelloKitty این بار برای SonicWall دردسرساز شد.
خلاصه: آژانس امنیت زیرساخت و امنیت سایبری ایالات متحده آمریکا -CISA- هشدار داد که مهاجمین با سوءاستفاده از آسیبپذیری از پیششناختهشده و وصلهشدهای، محصولات سری 100 Secure Mobile Access (SMA) و Secure Remote Access (SRA) EOL شرکت SonicWall را مورد هدف قرار دادهاند. هر چند شرکت SonicWall وقوع حملات باجافزاری را قریبالوقوع می داند؛ مدیرعامل شرکت Coveware، ضمن تأیید هشدار CISA، گفت: «حملات در حال انجام هستند!»
آژانس امنیت زیرساخت و امنیت سایبری ایالات متحده آمریکا -CISA- هشدار داد که مهاجمین با سوءاستفاده از آسیبپذیری از پیششناختهشده و وصلهشدهای، محصولات سری 100 Secure Mobile Access (SMA) و Secure Remote Access (SRA) EOL شرکت SonicWall را مورد هدف قرار دادهاند. در این هشدار امنیتی آمده است که مهاجمین از این آسیبپذیری به عنوان بخشی از حملهی هدفمند باجافزاری استفاده کردهاند.
البته پیش از اعلان هشدار CISA، شرکت SonicWall طی ایمیلهایی به مشتریان خود، از حمله هدفمند قریبالوقوع باجافزاری خبر داده بود. هر چند شرکت SonicWall وقوع حملات باجافزاری را قریبالوقوع دانسته، Bill Siegel، مدیرعامل شرکت Coveware، ضمن تأیید هشدار CISA، گفت: «حملات در حال انجام هستند!»
CISA با اصرار بر مرور هشدار امنیتی SonicWalls، از کاربران و همچنین مدیران میخواهد که دستگاههای خود را به آخرین سفتافزار موجود ارتقاء دهند یا به سرعت اتصالشان را با شبکه قطع کنند.
گروه HelloKitty، تنها یکی از چندین گروه تهدید پشت این حملات است.
درحالیکه CISA و SonicWall از افشای هویت مهاجمان سر باز زدهاند؛ به نقل از یکی منابع امنیتی موثق، طی چند هفته گذشته گروه HelloKitty از آسیبپذیری موجود سوءاستفاده کرده است. شرکت امنیت سایبری CrowdStrike نیز این موضوع را تایید کرد.
خانواده باجافزاری HelloKitty، یک باجافزار با عامل انسانی (human-operated) است که از نوامبر سال ۲۰۲۰ فعال است و شهرتش را وامدار رمزگذاری سیستمهای CD Projekt Red و ادعای سرقت منابع کدِ بازیهایی همچون Cyberpunk 2077، GWent ، Withcer 3 و ... است.
اگرچه به آسیبپذیری مورد سوءاستفاده برای به خطر انداختن EOL SMA و SRA نه در هشدار CISA و نه در پیام SonicWall اشارهای نشده، اما Heather Smith، محقق امنیت شرکت CrowdStrike، خاطر نشان شده که شناسه آسیبپذیری یاد شده CVE-2019-7481 است.
SonicWall : «این حمله، آسیبپذیری از پیششناختهشدهای که در نسخههای جدید سفتافزار و در اوایل سال ۲۰۲۱ وصله شده، هدف قرار داده است».
کارشناسان امنیتی شرکت CrowdStrike، Heather Smith و Hanno Heinrichs در گزارش ماه قبل خود آوردهاند: «تیمهای پاسخگویی به حادثهی CrowdStrike، عاملین حملهای را شناسایی کردهاند که از آسیبپذیری قدیمی (CVE-2019-7481) سوءاستفاده میکنند. این آسیبپذیری در دستگاههای Secure Remote Access (SRA) 4600 وجود دارد».
همچنین به گزارش Coveware، باجافزار Babuk نیز از VPNهای SonicWall که احتمالا دچار آسیبپذیری CVE-2020-5135 هستند، سوءاستفاده میکند. اگرچه این آسیبپذیری در ماه اکتبر سال ۲۰۲۰ وصله شده اما همچنان به کرات مورد سوءاستفادهی مهاجمین قرار میگیرد.
ماجراهای قدیمیتر باجافزارها و SonicWall
گروه تهدیدی که توسط Mandiant کشف شد و با عنوان UNC2682 شناخته میشود؛ پیشتر موفق شده بود از آسیبپذیری روز صفر موجود در سری 100 SMA سوءاستفاده کرده و زنجیره حملات باجافزاری جدیدی با نام FiveHands به راه اندازد. پیش از آن که SonicWall اواخر ماه فوریهی ۲۰۲۱ وصلهی امنیتی مربوطه را منتشر کند؛ این گروه چندین هدف در آمریکای شمالی و اروپا را موردحمله قرار داده بود. گفتنی است در حملهای دیگر به سیستمهای داخلی SonicWall در ماه ژانویه، از همین آسیبپذیری روز صفر سوءاستفاده شده بود و پس از آن به صورت بیرویهای، همین آسیبپذیری راه را برای مهاجمین دیگر باز کرد.
همچنین ماه مارس تحلیلگران شرکت Mandiant، سه آسیبپذیری روز صفر دیگر را در SonicWall کشف کردند که در محصولات امنیتی ایمیل (ES) وجود داشت. شایان ذکر است که از سه آسیبپذیری فوقالذکر قبلا برای پیادهسازی درپشتی با استفاده از پوستههای وب BEHINDER، سوءاستفاده شده بود و مهاجمین توانسته بودند از طریق شبکه قربانی به ایمیلها و فایلهای قربانیان دست یابند.
