Une vulnérabilité zero-day corrigée par SonicWall dans ses appliances Secure Mobile Access (SMA) plus tôt cette année a été exploitée par un groupe de cybercriminalité sophistiqué et agressif avant que le fournisseur ne publie un correctif, a rapporté jeudi l’unité Mandiant de FireEye.

Au cours du dernier semestre, un nouveau groupe de cybercriminalité a été observé en utilisant un large éventail de logiciels malveillants et en employant des tactiques agressives pour faire pression sur les victimes de ransomwares afin qu’elles effectuent des paiements.

Appelé UNC2447, l’acteur de la menace est motivé financièrement et a fait preuve de capacités avancées dans des attaques visant des organisations en Europe et en Amérique du Nord, ce qui lui a permis de ne pas être détecté. Le groupe a falsifié les outils de sécurité, les règles de pare-feu et les paramètres de sécurité du système.

Depuis novembre 2020, rapporte FireEye, le cyber-groupe utilise des familles de malwares et des ransomwares tels que Sombrat, FiveHands (une variante réécrite du ransomware DeathRansom), le compte-gouttes Warprism PowerShell, la balise Cobalt Strike et FoxGrabber, mais son activité aussi montre l’affiliation au rançongiciel HelloKitty et RagnarLocker.

«Lorsque Mandiant observe un ransomware affilié, des clusters non catégorisés sont attribués en fonction de l’infrastructure utilisée et, dans le cas de l’UNC2447, reposent sur l’infrastructure Sombrat et Cobalt Strike Beacon utilisée à travers 5 intrusions entre novembre 2020 et février 2021», FireEye Remarques.

Le groupe a été vu en train d’abuser de CVE-2021-20016, une faille d’injection SQL critique dans les produits de la série SonicWall Secure Mobile Access SMA 100, qui pourrait permettre à des attaquants distants et non authentifiés d’accéder aux informations de connexion et aux informations de session, pour ensuite se connecter à des appliances vulnérables.

L’existence de la vulnérabilité a été révélée fin janvier, lorsque SonicWall a informé les clients que ses systèmes internes étaient la cible d’une attaque qui aurait pu exploiter des vulnérabilités zero-day dans la télécommande sécurisée de l’entreprise …

Voir la source de cette publication