今年10月兆勤(Zyxel Networks)针对旗下USG Flex、ATP系列防火墙用户提出警告,他们在欧洲、中东、非洲地区(EMEA)侦测到锁定该品牌设备的攻击行动,近期有安全企业指出,很可能与勒索软件攻击有关。
安全企业Sekoia针对近期出现的勒索软件Helldown提出警告,这些黑客最早从8月5日出现活动,截至11月7日,攻击者声称有31家企业组织受害,这些大部分是中小企业,多半位于美国,部分位于欧洲。值得留意的是,这些黑客也将兆勤的欧洲分公司(Zyxel Europe)列于受害者名单。
而对于这些黑客攻击的标的,原本主要是针对Windows计算机而来,但到了10月底,这些黑客进一步打造Linux版变种,用于攻击VMware ESXi虚拟化平台,使得该勒索软件破坏范围更为广泛。
研究人员对于勒索软件程序进行分析,指出Windows版勒索软件是以外流的LockBit 3.0构建工具开发而成,能在执行文件前进行一系列作业,以便加密工作顺利执行。
其中包括通过脚本终止特定处理程序,并删除磁盘区阴影复制(Shadow Copy)的备份数据,并检查是否取得特殊权限,以便后续将文件加密并留下勒索消息,最终清理作案痕迹,将脚本及勒索软件删除,然后将计算机关机。
至于Linux版变种,研究人员指出,黑客并未如同Windows版采用高度混淆处理,以及防调试等反分析的机制。再加上这种针对虚拟化平台的勒索软件其中,通常会具备的终止虚拟机(VM)功能,并未实际提供,因此他们推测,Linux版勒索软件仍在开发的阶段。
针对攻击者锁定兆勤防火墙作为入侵受害组织的渠道,研究人员提出他们掌握的线索。首先,他们在11月4日确认至少有8家企业受害,其中一家在8月受害的企业,当时利用该品牌防火墙架设IPSec VPN,另有2家企业在遇害后,换成其他品牌的防火墙。
他们也提及9月下旬兆勤论坛有许多防火墙用户通报,搭配5.38版固件的防火墙遭到入侵,黑客植入名为zzz1.conf的文件,并创建名为OKSDW82A的账号。研究人员针对上述CONF文件进行分析,指出他们经过Base64编码解密,取得针对MIPS架构系统打造的ELF执行文件,研究人员推测,此文件可能与兆勤欧洲分公司遭入侵有关。
再加上10月9日兆勤发布的安全公告其中,提及有黑客针对该品牌防火墙发动攻击,借由特定弱点创建SUPPOR87、SUPPOR817,或是VPN的用户账号,根据上述资讯,研究人员认为勒索软件Helldown入侵受害组织网络环境的渠道,就是利用兆勤防火墙的弱点而得逞。
他们提及另一家安全企业Truesec经手的勒索软件Helldown攻击事件回应,黑客利用兆勤防火墙漏洞入侵,并指出其战术、手法、流程(TTP),与他们从兆勤论坛用户得知的一致。攻击者利用SSL VPN访问名为OKSDW82A的账号,滥用域名控制器的LDAP同步机制取得相关帐密,并进一步侦察,直到遭到EDR系统拦截才被中断。
针对上述情况我们也向兆勤进行确认,在截稿之前尚未得到回应。
