Le mois dernier, des acteurs malveillants ciblant une vulnérabilité zero-day dans les appliances Sophos XG Firewall ont tenté de déployer un rançongiciel après que Sophos a commencé à prendre des mesures pour neutraliser l’attaque.

Dans l’incident, que Sophos appelle Asnarök, les adversaires ont ciblé une vulnérabilité d’injection SQL jusque-là inconnue pour insérer une commande sur une ligne et télécharger un script de shell Linux qui exécuterait d’autres commandes et supprimerait des scripts supplémentaires, pour la persistance et pour créer un canal de sauvegarde .

Sophos a été alerté peu de temps après le début de l’attaque et a immédiatement pris des mesures, avec un correctif pour corriger la vulnérabilité qui sera déployé en quelques jours.

L’un des fichiers déployés par les attaquants ferait office de «commutateur homme mort» pour lancer une attaque de rançongiciel lorsqu’un fichier spécifique serait supprimé sur des pare-feu non corrigés lors d’un redémarrage ou d’un cycle d’alimentation, révèle la société de sécurité.

Étant donné que les correctifs déployés permettraient de corriger la vulnérabilité et de supprimer le code malveillant sans redémarrage, l’attaque du ransomware n’a pas été déclenchée. Conscient de cela, l’adversaire a décidé de modifier certains des scripts shell précédemment déployés, et a même remplacé l’un d’eux par la charge utile du rançongiciel.

«À ce stade, les attaquants avaient l’intention de livrer le rançongiciel sans exiger le redémarrage du pare-feu, mais Sophos avait déjà pris des mesures supplémentaires pour intervenir, ce qui a perturbé cette phase de l’attaque», explique la société de sécurité.

L’attaque initiale post-exploitation commencerait par l’un des scripts déployés dans la deuxième étape, qui était censé déposer un binaire ELF Linux dans le système de fichiers. Agissant en tant qu’interrupteur homme mort, le fichier était destiné à télécharger et à exécuter un autre script shell nommé patch.sh du site ragnarokfromasgard[.]com, Explique Sophos.

Le script effectuerait diverses tâches, y compris l’analyse du contenu du cache ARP du pare-feu, où l’adresse IP (interne) et MAC …

Voir la source de cette publication