美国国土安全部网络安全和基础设施安全局（CISA）发布公告提醒攻击者正在针对 SonicWall SMA 100 系列设备和 SRA 设备中发现的漏洞进行攻击。有安全公司指出，攻击者为HelloKitty勒索软件团伙。

正如 CISA 描述的那样，攻击者可以利用此安全漏洞作为勒索软件攻击的一部分。CISA 敦促用户和管理员将 SonicWall 设备升级到最新版本或者断开所有报废设备的网络连接。

SonicWall 发布紧急安全通知，通知用户已经存在有针对性的勒索软件攻击，风险迫在迫在眉睫。Coveware 的首席执行官 Bill Siegel 也证实了 CISA 的警告，称攻击活动正在进行中。

HelloKitty

尽管 CISA 和 SonicWall 没有透露攻击者的身份，但安全公司都表示是 HelloKitty 组织在过去几周一直在利用该漏洞。

CrowdStrike 也证实很多攻击者正在利用该漏洞，包括 HelloKitty。CrowdStrike 安全研究员 Heather Smith 表示用来攻击 SMA 和 SRA 的漏洞是 CVE-2019-7481，上个月 CrowdStrike 确定了利用该漏洞进行攻击的事件。

HelloKitty 自从 2020 年 11 月以来非常活跃，它以窃取 Cyberpunk 2077、Witcher 3、Gwent 和其他游戏的源代码而闻名 。

SonicWall 表示攻击利用的是较早的漏洞，而该漏洞已在 2021 年年初发布的新版本更新中进行了修复。

根据 Coveware 的报告，Babuk 勒索软件还在针对存在漏洞的 SonicWall VPN 进行攻击 。该漏洞已于 2020 年 10 月被修补，但根据 Coveware 的说法，直到现在仍然“被勒索软件组织严重滥用”。

勒索软件

Mandiant 跟踪的名为 UNC2447 的攻击组织正在利用 SonicWall SMA 100 系列 VPN 设备中的 CVE-2021-20016 零日漏洞部署了一种名为 FiveHands 的新型勒索软件。

2021 年 2 月下旬 SonicWall 发布补丁之前，UNC2447 针对多个北美和欧洲的目标发起攻击。

同样的零日漏洞也于 1 月份在针对 SonicWall 内部系统的攻击中被使用，后来被在野利用。

3 月份，Mandiant 的威胁分析人员在 SonicWall 的电子邮件安全产品中发现了另外三个零日漏洞。这三个零日漏洞也被 Mandiant 发现 UNC2682 攻击组织在积极利用发动攻击。

Mandiant 的研究人员表示：“攻击者利用这些漏洞，贡献 SonicWall 后安装后门、窃取文件和电子邮件，并且横向移动到受害组织网络中的其他主机”。

参考来源

BleepingComputer