美国国土安全部网络安全和基础设施安全局(CISA)发布公告提醒攻击者正在针对 SonicWall SMA 100 系列设备和 SRA 设备中发现的漏洞进行攻击。有安全公司指出,攻击者为HelloKitty勒索软件团伙。
正如 CISA 描述的那样,攻击者可以利用此安全漏洞作为勒索软件攻击的一部分。CISA 敦促用户和管理员将 SonicWall 设备升级到最新版本或者断开所有报废设备的网络连接。
SonicWall 发布紧急安全通知,通知用户已经存在有针对性的勒索软件攻击,风险迫在迫在眉睫。Coveware 的首席执行官 Bill Siegel 也证实了 CISA 的警告,称攻击活动正在进行中。
HelloKitty
尽管 CISA 和 SonicWall 没有透露攻击者的身份,但安全公司都表示是 HelloKitty 组织在过去几周一直在利用该漏洞。
CrowdStrike 也证实很多攻击者正在利用该漏洞,包括 HelloKitty。CrowdStrike 安全研究员 Heather Smith 表示用来攻击 SMA 和 SRA 的漏洞是 CVE-2019-7481,上个月 CrowdStrike 确定了利用该漏洞进行攻击的事件。
HelloKitty 自从 2020 年 11 月以来非常活跃,它以窃取 Cyberpunk 2077、Witcher 3、Gwent 和其他游戏的源代码而闻名 。
SonicWall 表示攻击利用的是较早的漏洞,而该漏洞已在 2021 年年初发布的新版本更新中进行了修复。
根据 Coveware 的报告,Babuk 勒索软件还在针对存在漏洞的 SonicWall VPN 进行攻击 。该漏洞已于 2020 年 10 月被修补,但根据 Coveware 的说法,直到现在仍然“被勒索软件组织严重滥用”。
勒索软件
Mandiant 跟踪的名为 UNC2447 的攻击组织正在利用 SonicWall SMA 100 系列 VPN 设备中的 CVE-2021-20016 零日漏洞部署了一种名为 FiveHands 的新型勒索软件。
2021 年 2 月下旬 SonicWall 发布补丁之前,UNC2447 针对多个北美和欧洲的目标发起攻击。
同样的零日漏洞也于1月份在针对 SonicWall 内部系统的攻击中被使用,后来被在野利用。
3月份,Mandiant 的威胁分析人员在 SonicWall 的电子邮件安全产品中发现了另外三个零日漏洞。这三个零日漏洞也被 Mandiant 发现 UNC2682 攻击组织在积极利用发动攻击。
Mandiant 的研究人员表示:“攻击者利用这些漏洞,贡献 SonicWall 后安装后门、窃取文件和电子邮件,并且横向移动到受害组织网络中的其他主机”。