Ein ausgeklügelter chinesischer Advanced Persistent Threat (APT)-Akteur nutzte eine kritische Sicherheitslücke in der Sophos-Firewall aus, die Anfang des Jahres bekannt wurde, um im Rahmen eines gezielten Angriffs ein ungenanntes Ziel in Südasien zu infiltrieren.
„Der Angreifer implementierte eine interessante Web-Shell-Backdoor, schuf eine zweite Form der Persistenz und startete schließlich Angriffe auf die Mitarbeiter des Kunden“, so Volexity in einem Bericht. „Diese Angriffe zielten darauf ab, die in der Cloud gehosteten Webserver anzugreifen, auf denen die öffentlich zugänglichen Websites des Unternehmens gehostet werden.
Die fragliche Zero-Day-Schwachstelle wird unter der Bezeichnung CVE-2022-1040 (CVSS-Score: 9.8) geführt und betrifft eine Schwachstelle zur Umgehung der Authentifizierung, die zur Ausführung von beliebigem Code aus der Ferne genutzt werden kann. Sie betrifft die Sophos Firewall-Versionen 18.5 MR3 (18.5.3) und früher.
Das Cybersicherheitsunternehmen, das am 25. März 2022 einen Patch für die Schwachstelle veröffentlichte, wies darauf hin, dass die Schwachstelle dazu missbraucht wurde, „eine kleine Gruppe bestimmter Organisationen vor allem in der Region Südasien anzugreifen“, und dass es die betroffenen Unternehmen direkt benachrichtigt hat.
Laut Volexity gab es bereits am 5. März 2022 erste Anzeichen dafür, dass die Schwachstelle ausgenutzt wurde, als das Unternehmen anomale Netzwerkaktivitäten entdeckte, die von der Sophos Firewall eines ungenannten Kunden ausgingen, auf der die damals aktuelle Version lief – fast drei Wochen vor der Veröffentlichung der Schwachstelle.
„Der Angreifer nutzte den Zugang zur Firewall, um Man-in-the-Middle (MitM)-Attacken durchzuführen“, so die Forscher. „Der Angreifer nutzte die bei diesen MitM-Angriffen gesammelten Daten, um weitere Systeme außerhalb des Netzwerks, in dem sich die Firewall befand, zu kompromittieren.
Die Infektionssequenz nach dem Einbruch in die Firewall bestand darin, dass eine legitime Komponente der Sicherheitssoftware mit der Behinder-Web-Shell hinterlegt wurde, auf die der Angreifer von einer beliebigen URL aus zugreifen konnte.
Es ist bemerkenswert, dass die Behinder-Web-Shell bereits Anfang des Monats von chinesischen APT-Gruppen bei einer Reihe von Angriffen genutzt wurde, die eine Zero-Day-Schwachstelle in Atlassian Confluence Server-Systemen (CVE-2022-26134) ausnutzten.
Darüber hinaus soll der Angreifer VPN-Benutzerkonten erstellt haben, um den Fernzugriff zu erleichtern, bevor er DNS-Antworten für speziell angegriffene Websites – vor allem das Content Management System (CMS) des Opfers – veränderte, um Anmeldedaten und Sitzungscookies abzufangen.
Durch den Zugriff auf die Sitzungscookies konnte die böswillige Partei die Kontrolle über die WordPress-Website übernehmen und eine zweite Web-Shell namens IceScorpion installieren, die der Angreifer dazu nutzte, drei Open-Source-Implantate auf dem Webserver einzusetzen, darunter PupyRAT, Pantegana und Sliver.
„DriftingCloud ist ein effektiver, gut ausgerüsteter und hartnäckiger Bedrohungsakteur, der es auf Ziele im Zusammenhang mit fünf Giften abgesehen hat. Sie sind in der Lage, Zero-Day-Exploits zu entwickeln oder zu kaufen, um ihre Ziele zu erreichen, was ihnen den entscheidenden Vorteil verschafft, wenn es darum geht, in die Zielnetzwerke einzudringen.“