Un sofisticato attore cinese di minacce persistenti avanzate (APT) ha sfruttato una vulnerabilità di sicurezza critica nel prodotto firewall di Sophos, venuta alla luce all’inizio di quest’anno, per infiltrarsi in un obiettivo sud-asiatico senza nome come parte di un attacco altamente mirato.
“L’attaccante ha implementato un’interessante backdoor web shell, ha creato una forma secondaria di persistenza e ha infine lanciato attacchi contro il personale del cliente“, ha dichiarato Volexity in un rapporto. “Questi attacchi miravano a violare ulteriormente i server web ospitati nel cloud che ospitano i siti web pubblici dell’organizzazione“.
La falla zero-day in questione è classificata come CVE-2022-1040 (punteggio CVSS: 9,8) e riguarda una vulnerabilità di bypass dell’autenticazione che può essere utilizzata per eseguire codice arbitrario da remoto. Il problema riguarda le versioni 18.5 MR3 (18.5.3) e precedenti di Sophos Firewall.
La società di cybersicurezza, che ha rilasciato una patch per la falla il 25 marzo 2022, ha fatto notare che è stata abusata per “colpire un piccolo gruppo di organizzazioni specifiche principalmente nella regione dell’Asia meridionale” e che ha notificato direttamente le entità interessate.
Ora, secondo Volexity, le prime prove di sfruttamento della falla sono iniziate il 5 marzo 2022, quando ha rilevato un’attività di rete anomala proveniente dal firewall Sophos di un cliente senza nome con la versione allora aggiornata, quasi tre settimane prima della divulgazione pubblica della vulnerabilità.
“L’aggressore stava utilizzando l’accesso al firewall per condurre attacchi di tipo man-in-the-middle (MitM)”, hanno dichiarato i ricercatori. “L’aggressore ha utilizzato i dati raccolti da questi attacchi MitM per compromettere altri sistemi al di fuori della rete in cui risiedeva il firewall“.
La sequenza di infezione successiva alla violazione del firewall ha comportato anche il backdooring di un componente legittimo del software di sicurezza con la shell web Behinder, alla quale si poteva accedere in remoto da qualsiasi URL a scelta dell’attore della minaccia.
È degno di nota il fatto che la web shell Behinder sia stata sfruttata all’inizio di questo mese da gruppi APT cinesi in una serie separata di intrusioni che sfruttavano una falla zero-day nei sistemi Atlassian Confluence Server (CVE-2022-26134).
Atlassian nei guai. Cisa avverte dello zero day in Confluence
Inoltre, l’aggressore avrebbe creato account utente VPN per facilitare l’accesso remoto, prima di passare a modificare le risposte DNS per siti web specificamente mirati – principalmente il sistema di gestione dei contenuti (CMS) della vittima – con l’obiettivo di intercettare le credenziali degli utenti e i cookie di sessione.
L’accesso ai cookie di sessione ha permesso al malintenzionato di prendere il controllo del sito WordPress e di installare una seconda shell web, denominata IceScorpion, che l’aggressore ha utilizzato per distribuire tre impianti open-source sul server web, tra cui PupyRAT, Pantegana e Sliver.
“DriftingCloud è un attore di minacce efficace, ben equipaggiato e persistente che mira a obiettivi legati a cinque veleni. È in grado di sviluppare o acquistare exploit zero-day per raggiungere i propri obiettivi, facendo pendere la bilancia a proprio favore quando si tratta di entrare nelle reti target“.
Sophos, in un’indagine indipendente su alcune delle intrusioni che hanno sfruttato la falla, ha puntato il dito contro due gruppi di minacce avanzate persistenti (APT) senza nome, entrambi i quali hanno realizzato un exploit per lanciare strumenti di accesso remoto come GoMet e Gh0st RAT.
“Gli aggressori hanno sfruttato il bug per inserire file dannosi nel dispositivo e poi hanno compiuto ulteriori passi che hanno indotto il dispositivo ad arrestare e poi riavviare alcuni servizi“, ha dichiarato Andrew Brandt, ricercatore principale di Sophos. “Questo passaggio ha fatto sì che il dispositivo eseguisse i file che erano stati inseriti“.
“Riteniamo che gli attacchi siano opera di un aggressore dedito all’uso della tastiera, che ha sfruttato le conoscenze di qualcuno che ha effettuato il reverse engineering del firmware del dispositivo“, ha aggiunto Brandt.
