Китайские хакеры использовали эксплойт нулевого дня для критической уязвимости в Sophos Firewall, чтобы скомпрометировать компанию и взломать облачные веб-серверы, которыми управляет жертва.
Тем временем проблема с безопасностью была устранена, но различные злоумышленники продолжали использовать ее для обхода аутентификации и удаленного запуска произвольного кода в нескольких организациях.
25 марта Sophos опубликовала бюллетень по безопасности о CVE-2022-1040, уязвимости обхода аутентификации, которая затрагивает пользовательский портал и веб-админку Sophos Firewall и может быть использована для удаленного выполнения произвольного кода.
Три дня спустя компания предупредила, что злоумышленники используют проблему безопасности для нападения на несколько организаций в регионе Южной Азии.
На этой неделе компания по кибербезопасности Volexity подробно описала атаку китайской группы продвинутых постоянных угроз, которую они отслеживают как DriftingCloud, которая использовала CVE-2022-1040 с начала марта, чуть более чем за три недели до того, как Sophos выпустила патч.
Злоумышленник использовал эксплойт нулевого дня, чтобы скомпрометировать брандмауэр, чтобы установить бэкдоры веб-шелла и вредоносные программы, которые позволили бы скомпрометировать внешние системы за пределами сети, защищенной брандмауэром.
Когда Volexity начала расследование, злоумышленник все еще был активен, и исследователи могли отслеживать этапы атаки, выявляя изощренного злоумышленника, который пытался оставаться незамеченным.
Исследователи отмечают, что злоумышленник пытался смешать свой трафик, получив доступ к установленному веб-шеллу через запросы к легитимному файлу «login.jsp».