En este momento estás viendo SOPHOS – Adversarios de alto valor patrocinados por el estado chino están explotando la vulnerabilidad de día cero en los Firewall Sophos

SOPHOS – Adversarios de alto valor patrocinados por el estado chino están explotando la vulnerabilidad de día cero en los Firewall Sophos

  • Autor de la entrada:
  • Categoría de la entrada:PROTECCIÓN

Sigue creciendo el intercambio de artefactos y técnicas de explotación de la vulnerabilidad CVE-2022-1040.

Amenaza en desarrollo

Observamos mucha actividad creciente en el intercambio de los artefactos y las técnicas de explotación dirigida a CVE-2022-1040. En su mayoría, los interesados son actores patrocinados por el estado chino. Lo anterior incrementa la preocupación de los ataques futuros y el crecimiento de nuevas víctimas en el mediano plazo por los compromisos (con propósito de mantenerse oculto) que están logrando sobre un número significativo de sistemas Firewall de Sophos que a la fecha siguen sin ser «parchados».

Asimismo, aumenta un interés creciente en explotar una vulnerabilidad de día cero ahora parcheada en Sophos Firewall (en el mes de marzo). Se conoce que desde inicios de enero de 2022 hasta antes de ser parcheada en marzo de 2022, muchos sistemas Firewall Sophos lograron ser comprometidos principalmente en en el sur de Asia (responde al interés de China). Recientemente, las actividades observadas muestran agresiones y compromisos en América del Sur. Datos de inteligencia consultados por DefensiONE, observaron un tercer adversario enfocado en eliminar en los sistemas y víctimas comprometidas la herramienta Gh0st RAT (https://attack.mitre.org/software/S0032/) de código abierto, supone que esta es una de las piezas que ha estado utilizando los adversarios para persistir en las organizaciones comprometidas por esta debilidad.

Si en su ecosistema on epremise o cloud hace uso de un sistema Firewall Sophos vulnerable o parchado entre marzo de 2022 a la fecha, debe considerar la necesidad de rastrear en su ecosistema el artefacto Gh0st RAT y sus variaciones recientes. Si aún no ha aplicado este parche en su Firewall, por favor proceda de inmediato, los adversarios detrás de estas actividades son de alto valor y suelen ejecutar compromisos de gran escala en la etapa de monetización de la persistencia lograda, es decir, si su organización no es del interés de estos adversarios, los sistemas que logren comprometer serán cedidos a bandas criminales de tipo extorsivas que emplean Ransomware y secuestro/robo de datos como medio de presión para lograr su propósito.

CENTRO DE INTELIGENCIA DE AMENAZAS EN UN SOLO LUGAR

© 2021 por DEFENSIONE. Ciberseguridad | Defensa y Respuesta. Desarrollado por BALUTEK.