Hiện tại, FireEye chưa tìm thấy mối liên hệ giữa nhóm tin tặc này với bất kỳ nhóm tin tặc nào đã biết trước đó. Công ty này cũng nhấn mạnh các tin tặc dường như hiểu rất rõ về cách thức hoạt động của sản phẩm thuộc SonicWall.
Một trong những lỗ hổng nghiêm trọng đang bị khai thác có định danh CVE-2021-20021, cho phép tin tặc tấn công từ xa, không cần xác thực tạo tài khoản quản trị bằng cách gửi các truy vấn HTTP đặc biệt tới hệ thống mục tiêu.
Hai lỗ hổng khác gồm CVE-2021-20022 và CVE-2021-20023, có thể đã bị tin tặc lợi dụng để tải lên các tệp và đọc các tệp tùy ý tương ứng từ máy chủ. Hai lỗ hổng này được đánh giá có mức độ trung bình dựa trên điểm CVSS. Tuy nhiên, sẽ rất nguy hiểm khi chúng được kết hợp với CVE-2021-20021.
SonicWall cho biết, các lỗ hổng ảnh hưởng đến Email Security trên Windows, cũng như phần cứng và thiết bị ảo ESXi. Hosted Email Security cũng bị ảnh hưởng nhưng đã được vá tự động. Ngoài các bản vá, nhà cung cấp đã phát hành chữ ký trên IPS để phát hiện và chặn các cuộc tấn công.
Ngày 13/4, nhà nghiên cứu Kevin Beaumont đã cảnh báo các tổ chức về mức độ nghiêm trọng của các lỗ hổng bảo mật. Sau đó, vào ngày 16/4, ông cho biết có thể SonicWall đã không liên hệ và cảnh báo khách hàng cập nhật bản vá trước khi thông tin các lỗ hổng bị khai thác được công bố.
Trong một bài đăng mô tả các lỗ hổng và các cuộc tấn công, FireEye cho biết tin tặc đã nhắm mục tiêu vào phiên bản mới nhất của ứng dụng Email Security trên Windows Server 2012. Bằng việc khai thác thành công lỗ hổng CVE-2021-20021 chiếm quyền truy cập quản trị vào hệ thống SonicWall, tin tặc tiếp tục khai thác lỗ hổng CVE -2021-20023 để lấy các tệp chứa thông tin về tài khoản hiện có, thông tin đăng nhập Active Directory. Cuối cùng, tin tặc thông qua lỗ hổng CVE-2021-20022 để triển khai web shell có tên BEHINDER.
BEHINDER tương tự như web shell khét tiếng của nhóm China Chopper, giúp kẻ tấn công truy cập không hạn chế vào máy chủ bị xâm nhập.
Các nhà nghiên cứu của FireEye giải thích: “Dựa vào các kỹ thuật “living off the land” mà tin tặc sử dụng các công cụ hoặc tính năng đã có sẵn trong môi trường mục tiêu, hơn là đưa các công cụ riêng của mình vào môi trường nạn nhân. Điều này giúp kẻ tấn công có thể tránh bị các sản phẩm bảo mật phát hiện.
Đây là lần thứ hai SonicWall vá các lỗ hổng bị khai thác trong năm 2021. Vào tháng 01/2021, công ty tiết lộ các hệ thống nội bộ của hãng đã bị tin tặc trình độ cao khai thác các lỗ hổng zero-day trong các sản phẩm Truy cập Di động Bảo mật (SMA).
SonicWall cho biết, hãng đã xác minh một số lỗ hổng zero-day cụ thể, trong đó có ít nhất một lỗ hổng đang bị khai thác trong thực tế. SonicWall đã thiết kế, thử nghiệm và công bố các bản vá để khắc phục sự cố và thông báo những biện pháp giảm thiểu nguy cơ bị tấn công tới các khách hàng và đối tác. Cùng với đó, SonicWall đặc biệt khuyến nghị khách hàng cũng như các tổ chức trên toàn thế giới thường xuyên cập nhật bản vá để tránh các rủi ro không mong muốn.