Sophos рассказала о трояне, атаковавшем XG Firewall

[Artifact]

Для распространения трояна Asnarök злоумышленники эксплуатировали уязвимость нулевого дня в XG Firewall.

Как ранее https://www.securitylab.ru/news/507861.phpSecurityLab, на прошлых выходных компания Sophos в экстренном порядке исправила https://www.securitylab.ru/vulnerability/507863.phpнулевого дня в своем межсетевом экране XG Firewall. По данным Sophos, с 22 апреля 2020 года уязвимость https://news.sophos.com/en-us/2020/04/26/asnarok/киберпреступниками для распространения трояна Asnarök, похищающего имена пользователей и хэши паролей.
Речь идет об уязвимости, позволяющей осуществить SQL-инъекцию и удаленно выполнить код на физическом или виртуальном межсетевом экране. После эксплуатации уязвимости полезная нагрузка Asnarök загружалась на атакуемый межсетевой экран в виде нескольких сценариев командной оболочки Linux. Вместе с полезной нагрузкой эксплоит также загружал сценарий командной оболочки, который делал установщик вредоносного ПО исполняемым и запускал его на скомпрометированном устройстве.
Для того чтобы запускаться при каждой загрузке межсетевого экрана, Asnarök модифицировал некоторые его службы и использовал их как механизм сохранения персистентности.
Как показал реверс-инжиниринг трояна, он был создан специально для сбора логинов и хэшей паролей пользователей межсетевого экрана, а также некоторой системной информации. Тем не менее, каких-либо свидетельств того, что собранные Asnarök данные были успешно получены злоумышленниками, исследователи не обнаружили.
По сути, троян мог собирать такую информацию о межсетевом экране, как номер лицензии и серийный номер продукта, список хранящихся на устройстве электронных адресов пользователей (первым в списке указывается электронный адрес администратора), имена пользователей, зашифрованные пароли, «подсоленный» с помощью хэш-функции SHA256 пароль администратора, список идентификаторов пользователей, которым разрешено использовать межсетевой экран для SSL VPN и VPN-соединение без клиента.
Asnarök также делал запросы во внутреннюю базу данных межсетевого экрана в поисках сведений о версии ОС, объеме оперативной памяти, ЦП, времени непрерывной работы (аптайме), разрешениях на выделение пользовательских IP-адресов и пр. Собранные данные записывались в файл Info.xg, архивировались, шифровались и отправлялись на подконтрольный злоумышленникам сервер.
Sophos заблокировала использовавшиеся трояном домены 22-23 апреля и 23-24 апреля начала рассылать исправления для уязвимости. Завершающее обновление безопасности было выпущено 25 апреля. Пользователям, не включившим функцию автоматического обновления межсетевого экрана, нужно установить исправление вручную.