info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

خانواده باج‌افزاری HelloKitty این بار برای SonicWall دردسرساز شد.

خلاصه: آژانس امنیت زیرساخت و امنیت سایبری ایالات متحده آمریکا -CISA- هشدار داد که مهاجمین با سوءاستفاده از آسیب‌پذیری از پیش‌شناخته‌شده و وصله‌شده‌ای، محصولات سری ۱۰۰ Secure Mobile Access ‪(SMA)‬  و Secure Remote Access (SRA) EOL   شرکت SonicWall  را مورد هدف قرار داده‌اند. هر چند شرکت SonicWall وقوع حملات باج‌افزاری را قریب‌الوقوع می داند؛ ‌ مدیرعامل شرکت Coveware، ضمن تأیید هشدار CISA، گفت: «حملات در حال انجام هستند!»

 

آژانس امنیت زیرساخت و امنیت سایبری ایالات متحده آمریکا -CISA- هشدار داد که مهاجمین با سوءاستفاده از آسیب‌پذیری از پیش‌شناخته‌شده و وصله‌شده‌ای، محصولات سری ۱۰۰ Secure Mobile Access ‪(SMA)‬  و Secure Remote Access (SRA) EOL   شرکت SonicWall  را مورد هدف قرار داده‌اند. در این هشدار امنیتی آمده است که مهاجمین از این آسیب‌پذیری  به عنوان بخشی از حمله‌ی هدفمند باج‌افزاری استفاده کرده‌اند.

البته پیش از اعلان  هشدار CISA، شرکت SonicWall طی ایمیل‌هایی به مشتریان خود، از حمله‌ هدفمند قریب‌الوقوع باج‌افزاری خبر داده بود. هر چند شرکت SonicWall وقوع حملات باج‌افزاری را قریب‌الوقوع دانسته، ‌Bill Siegel، مدیرعامل شرکت Coveware، ضمن تأیید هشدار CISA، گفت: «حملات در حال انجام هستند!»

CISA با اصرار بر مرور هشدار امنیتی SonicWalls، از کاربران و همچنین مدیران می‌خواهد که دستگاه‌های خود را به آخرین سفت‌افزار موجود ارتقاء دهند یا به سرعت اتصالشان را با شبکه قطع کنند.

گروه HelloKitty، تنها یکی از چندین گروه تهدید پشت این حملات است.

درحالی‌که CISA و SonicWall از افشای هویت مهاجمان سر باز زده‌اند؛ به نقل از یکی منابع امنیتی موثق، طی چند هفته‌ گذشته گروه HelloKitty از آسیب‌پذیری موجود سوءاستفاده کرده است. شرکت امنیت سایبری CrowdStrike نیز این موضوع را تایید کرد.

خانواده باج‌افزاری HelloKitty، یک باج‌افزار با عامل انسانی‌ (human-operated) است که از نوامبر سال ۲۰۲۰ فعال است و شهرتش را وامدار رمزگذاری‌ سیستم‌های CD Projekt Red و ادعای سرقت منابع کدِ بازی‌هایی همچون Cyberpunk 2077، GWent ، Withcer 3 و ... است.

اگرچه به آسیب‌پذیری مورد سوءاستفاده برای به خطر انداختن EOL SMA  و SRA نه در هشدار CISA و نه در پیام SonicWall اشاره‌ای نشده،‌ اما Heather Smith،‌ محقق امنیت شرکت CrowdStrike، خاطر نشان شده که شناسه آسیب‌پذیری یاد شده CVE-2019-7481 است.

SonicWall : «این حمله، آسیب‌پذیری از پیش‌شناخته‌شده‌ای که در نسخه‌های جدید سفت‌افزار و در اوایل سال ۲۰۲۱ وصله شده، هدف قرار داده است».

کارشناسان امنیتی شرکت CrowdStrike،  Heather Smith و Hanno Heinrichs در گزارش ماه قبل خود آورده‌اند: «تیم‌های پاسخگویی به حادثه‌ی CrowdStrike، عاملین حمله‌ای‌ را شناسایی کرده‌اند که از آسیب‌پذیری قدیمی (CVE-2019-7481) سوءاستفاده می‌کنند. این آسیب‌پذیری در دستگاه‌های Secure Remote Access ‪(SRA)‬ 4600 وجود دارد».

همچنین به گزارش Coveware، باج‌افزار Babuk نیز از VPNهای SonicWall که احتمالا دچار آسیب‌پذیری CVE-2020-5135 هستند، سوءاستفاده می‌کند. اگرچه این آسیب‌پذیری در ماه اکتبر سال ۲۰۲۰ وصله شده اما همچنان به کرات مورد سوءاستفاده‌ی مهاجمین قرار می‌گیرد.

‌ماجراهای قدیمی‌تر باج‌افزارها و SonicWall

گروه تهدیدی که توسط  Mandiant کشف شد و با عنوان UNC2682  شناخته می‌شود؛ پیش‌تر موفق شده بود از آسیب‌پذیری روز صفر موجود در سری ۱۰۰ SMA سوءاستفاده کرده و زنجیره حملات باج‌افزاری جدیدی با نام FiveHands به راه اندازد. پیش از آن که SonicWall اواخر ماه فوریه‌ی ۲۰۲۱ وصله‌ی امنیتی مربوطه را منتشر کند؛ این گروه چندین هدف در آمریکای شمالی و اروپا را موردحمله قرار داده بود. گفتنی است در حمله‌ای دیگر به سیستم‌های داخلی SonicWall در ماه ژانویه، از همین آسیب‌پذیری روز صفر سوءاستفاده شده بود و پس از آن به صورت بی‌رویه‌ای،‌ همین آسیب‌پذیری راه را برای مهاجمین دیگر باز کرد.

همچنین ماه مارس تحلیلگران شرکت Mandiant، سه آسیب‌پذیری روز صفر دیگر را در SonicWall کشف کردند که در محصولات امنیتی ایمیل (ES) وجود داشت. شایان ذکر است که از سه آسیب‌پذیری‌ فوق‌الذکر قبلا برای پیاده‌سازی درپشتی با استفاده از پوسته‌های وب BEHINDER، سوءاستفاده شده بود و مهاجمین توانسته بودند از طریق شبکه قربانی به ایمیل‌ها و فایل‌های قربانیان دست یابند.