摘要
新的“Helldown”勒索软件操作被认为利用Zyxel防火墙中的漏洞来侵入企业网络,从而窃取数据并加密设备。法国网络安全公司Sekoia根据近期对Helldown攻击的观察,对此报告表示中等信心。
Helldown的发现与概述
Helldown首次被Cyfirma于2024年8月9日记录,随后Cyberint于10月13日再次提及,简要描述了这一新的勒索软件操作。2024年10月31日,360NetLab的安全研究员Alex Turing首次报告了针对VMware文件的Helldown Linux变体。
Linux变体的特征
该Linux变体包含列出和结束虚拟机(VM)的代码以加密镜像,然而其功能仅部分被调用,表明它可能仍在开发中。
Helldown的Windows版本
Sekoia报告称,Helldown的Windows版本基于泄露的LockBit 3构建器,并具备与Darkrace和Donex的操作相似性。然而,基于现有证据,尚无法确立明确的联系。
截至2024年11月7日,威胁组织在其新近更新的敲诈门户上列出了31名受害者,主要是位于美国和欧洲的小型和中型企业。到今天,受害者人数减少到28,可能表明有些人已支付了赎金。
Sekoia表示,Helldown在窃取数据方面并不像其他组织那样选择性,而是采用更高效的策略,并在其网站上发布大型数据包,某些情况下达到431GB。
受害者示例
其中一个列出的受害者是Zyxel Europe,这是一家网络和网络安全解决方案提供商。
Zyxel漏洞的证据
Sekoia通过Zyxel Europe的线索发现,至少有八个在Helldown网站上列出的受害者在被攻击时使用Zyxel防火墙作为IPSec VPN访问点。
接下来,Sekoia注意到11月7日的Truesec报告提到,Helldown攻击中使用了一个名为“OKSDW82A”的恶意账户,以及一个用于针对基于MIPS设备攻击的配置文件(“zzz1.conf”)。
攻击过程
威胁行为者利用此账户通过SSL VPN与受害者网络建立安全连接,访问域控制器,进行横向移动,并关闭终端防御。
通过进一步调查,Sekoia在Zyxel论坛上发现了有关“OKSDW82A”可疑用户账户和“zzz1.conf”配置文件的报告,设备管理员报告他们使用的是5.38版本的固件。
漏洞假设
基于该版本,Sekoia的研究人员推测Helldown可能利用CVE-2024-42057,这是一个IPSec VPN中的命令注入漏洞,允许未经身份验证的攻击者在用户基础PSK模式下执行操作系统命令。
此外,Sekoia还考虑了Zyxel的另一个未记录的漏洞,相关细节已与厂商的PSIRT共享。CVE-2024-42057于2024年9月3日通过发布5.39版本的固件进行了修复,漏洞利用细节尚未公开,因此怀疑Helldown可能访问了私人n-day漏洞。
其他发现
此外,Sekoia发现从俄罗斯上传到VirusTotal的有效载荷在10月17日至22日期间,但该有效载荷不完整。Sekoia研究员Jeremy Scion解释道:“它包含一个base64编码的字符串,解码后显示为MIPS架构的ELF二进制文件。”
“然而,该有效载荷似乎不完整。Sekoia以中等信心评估该文件可能与前面提到的Zyxel漏洞有关。”
Zyxel的回应
BleepingComputer就这些攻击联系了Zyxel,但目前尚未收到回应。
更新 11/21 - Zyxel发布公告,针对Sekoia报告中出现的担忧,向客户保证5.39版本的固件已防护这些攻击。
更新 11/28 - Zyxel将该缺陷标记为CVE-2024-11667,并添加了以下描述:“Zyxel ZLD防火墙固件版本5.00至5.38的Web管理界面中的目录遍历漏洞可能允许攻击者通过构造的URL下载或上传文件。”
结论
Helldown勒索软件的迅速崛起及其对Zyxel防火墙的攻击凸显了网络安全领域的紧迫性。企业应及时更新固件和实施严格的网络安全措施,以防止此类攻击的发生。
