美国国土安全部网络安全和基础设施安全局(CISA)发布公告警告称,攻击者的目标是SonicWallSMA100系列设备和SRA设备中发现的漏洞。有安全公司指出,攻击者是HelloKitty勒索软件集团。正如CISA所述,攻击者可以利用此安全漏洞作为勒索软件攻击的一部分。CISA敦促用户和管理员将SonicWall设备升级到最新版本或断开所有报废设备与网络的连接。SonicWall已发布紧急安全通知,告知用户已发生定向勒索软件攻击,风险迫在眉睫。Coveware首席执行官BillSiegel也证实了CISA的警告,称攻击活动正在进行中。HelloKitty虽然CISA和SonicWall没有透露攻击者的身份,但两家安全公司都表示HelloKitty组织在过去几周一直在利用该漏洞。CrowdStrike还证实,许多攻击者正在利用该漏洞,包括HelloKitty。CrowdStrike安全研究员HeatherSmith表示,用于攻击SMA和SRA的漏洞是CVE-2019-7481,上个月CrowdStrike发现了利用该漏洞进行攻击的事件。HelloKitty自2020年11月起活跃,以窃取《赛博朋克2077》、《巫师3》、《昆特牌》等游戏的源代码而闻名。SonicWall表示,这次攻击利用了一个较早的漏洞,该漏洞已在2021年初发布的新版本更新中得到修复。根据Coveware的一份报告,Babuk勒索软件还针对易受攻击的SonicWallVPN。该漏洞已于2020年10月修补,但据Coveware称,直到现在它仍然“被勒索软件组织严重滥用”。RansomwareMandiant跟踪的名为UNC2447的攻击组织正在利用SonicWallSMA100系列VPN设备中的CVE-2021-20016零日漏洞部署名为FiveHands的新勒索软件。在SonicWall于2021年2月下旬发布补丁之前,UNC2447针对多个北美和欧洲目标。同样的零日漏洞也被用于1月份对SonicWall内部系统的攻击,后来被广泛利用。3月,Mandiant的威胁分析师在SonicWall的电子邮件安全产品中发现了另外三个零日漏洞。这三个零日漏洞也被Mandiant发现,UNC2682攻击组织正在积极利用它们发起攻击。Mandiant研究人员说:“攻击者利用这些漏洞帮助SonicWall安装后门、窃取文件和电子邮件,并横向移动到受害组织网络中的其他主机。”参考来源:BleepingComputer
