Хакеры использовали 0-day в SonicWall для атак шифровальщика FiveHands

Финансово мотивированная и, по оценке исследователей, крайне агрессивная группировка успела воспользоваться уязвимостью нулевого дня в VPN-устройствах SonicWall ещё до того, как производитель выпустил патч. Через эту брешь злоумышленники разворачивали новый штамм шифровальщика под названием FIVEHANDS.

Группу, которую компания Mandiant отслеживает под обозначением UNC2447, интересовала ошибка типа «некорректная нейтрализация SQL-команд» в продукте SSL-VPN SMA100 — это уязвимость CVE-2021-20016 с рейтингом CVSS 9.8. Она позволяет неаутентифицированному атакующему добиться удалённого выполнения кода.

Как действует UNC2447

«UNC2447 монетизирует вторжения, сначала вымогая деньги у жертв с помощью шифровальщика FIVEHANDS, а затем усиливая давление угрозами публикации в СМИ и предложением украденных данных на хакерских форумах», — отмечают исследователи Mandiant. По их данным, группа атакует организации в Европе и Северной Америке и стабильно демонстрирует продвинутые навыки: умеет уходить от обнаружения и сводить к минимуму следы, которые остаются после взлома для форензики.

Успешная эксплуатация уязвимости давала атакующему доступ к учётным данным для входа и к информации о сессиях. Этого достаточно, чтобы затем войти на уязвимое, не обновлённое устройство серии SMA 100.

CVE-2021-20016 — та же самая 0-day, которую, по словам самой SonicWall из Сан-Хосе, ранее в этом году использовали «изощрённые злоумышленники» для «скоординированной атаки на внутренние системы» компании. Ещё 22 января The Hacker News эксклюзивно сообщил, что SonicWall взломали через «вероятные уязвимости нулевого дня» в устройствах удалённого доступа серии SMA 100.

SombRAT, HelloKitty и корни в DeathRansom

По данным подразделения, принадлежащего FireEye, вторжения происходили в январе и феврале 2021 года. Для доставки FIVEHANDS злоумышленники применяли зловред SombRAT. Стоит отметить, что SombRAT обнаружили в ноябре 2020 года исследователи BlackBerry — тогда его связывали с кампанией CostaRicto, которую вела группа наёмных хакеров.

Атаки UNC2447 с использованием шифровальщиков впервые зафиксировали в дикой природе в октябре 2020 года. Поначалу жертв заражали шифровальщиком HelloKitty, но в январе 2021 года его сменили на FIVEHANDS. Любопытно, что оба штамма написаны на C++ и представляют собой переработку другого шифровальщика — DeathRansom.

«Опираясь на технические и временные наблюдения за развёртыванием HelloKitty и FIVEHANDS, можно предположить, что HelloKitty использовался в рамках общей партнёрской программы с мая по декабрь 2020 года, а FIVEHANDS — примерно с января 2021 года», — говорят исследователи.

От DeathRansom и HelloKitty новый FIVEHANDS отличается тем, что работает через дроппер, существующий только в памяти. Кроме того, он умеет принимать аргументы командной строки и задействует Windows Restart Manager, чтобы закрыть занятый файл перед его шифрованием.

Публикация вышла меньше чем через две недели после того, как FireEye раскрыла три ранее неизвестные уязвимости в ПО SonicWall для защиты электронной почты. Их активно эксплуатировали, разворачивая веб-шелл для скрытого доступа к системам жертв. Эту вредоносную активность FireEye отслеживает под обозначением UNC2682.

Источник: The Hacker News.