Uma atualização de segurança de emergência para o Sophos XG Firewall foi lançada neste sábado. A atualização corrige uma vulnerabilidade de execução remota de código por injeção SQL zero-day que está sendo explorada ativamente na natureza. Ela permite que cibercriminosos comprometam firewalls da Sophos através de sua interface de gerenciamento e implantem o malware Asnarok. O Trojan rouba a licença e o número de série do firewall, e-mails de usuários, hash SHA256 com sal do administrador, e senhas criptografadas. Para proteger sua organização da ameaça, certifique-se de que a instalação automática de hotfixes esteja habilitada em seu firewall: https://community.sophos.com/kb/en-us/135415Nossa equipe SOC lançou uma regra Sigma baseada em IOCs disponíveis na recomendação de segurançada Sophos. Você pode usá-la para encontrar vestígios do malware e determinar se seu XG Firewall foi comprometido. Você pode usar o Uncoder para converter a regra Sigma para o conteúdo de detecção da plataforma de segurança que você possui. Além disso, você pode verificar a regra com todas as traduções disponíveis no Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/RN0oGcnrZfoU/HYulvHEB1-hfOQirCe1I/#Link para Uncoder: https://uncoder.io/Guia do usuário do Uncoder está aqui: https://socprime.com/en/blog/uncoder-io-user-guide/Sigma:
| título: Campanha de Malware Asnarok do Sophos Firewall (IOC) status: estável descrição: Em abril de 2020, firewalls da Sophos foram alvo de um ator utilizando um exploit SQLi 0-day para comprometer os firewalls da Sophos através de sua interface de gerenciamento. O malware entregue foi nomeado “asnarok”. referências: – https://news.sophos.com/en-us/2020/04/26/asnarok/ autor: Equipe SOC Prime fonte de log: categoria: any detecção: palavra-chave: – ‘736da16da96222d3dfbb864376cafd58239344b536c75841805c661f220072e5’ – ‘a226c6a641291ef2916118b048d508554afe0966974c5ca241619e8a375b8c6b’ – ‘4de3258ebba1ef3638642a011020a004b4cd4dbe8cd42613e24edf37e6cf9d71’ – ‘9650563aa660ccbfd91c0efc2318cf98bfe9092b4a2abcd98c7fc44aad265fda’ – ‘8e9965c2bb0964fde7c1aa0e8b5d74158e37443d857fc227c1883aa74858e985’ – ’31e43ecd203860ba208c668a0e881a260ceb24cb1025262d42e03209aed77fe4′ – ‘/sp/sophos.dat’ – ‘.post_MI’ – ‘filedownloaderserverx.com’ – ‘filedownloaderserver.com’ – ‘updatefileservercross.com’ – ‘43.229.55.44’ – ‘38.27.99.69’ – ‘sophosfirewallupdate.com’ – ‘filedownloaderservers.com’ – ‘ragnarokfromasgard.com’ – ‘sophosenterprisecenter.com’ – ‘sophoswarehouse.com’ – ‘sophosproductupdate.com’ – ‘sophostraining.org’ condição: palavra-chave falsos positivos: – esta regra pode ser acionada por dados IOC de feeds de inteligência de ameaças nível: crítico |
