在Sophos开始采取措施抵消攻击之后，上个月针对Sophos XG Firewall设备中的零日漏洞的恶意参与者试图部署勒索软件。

在事件中，Sophos将其称为Asnarök，攻击者针对一个以前未知的SQL注入漏洞，以插入单行命令并下载Linux shell脚本，该脚本将执行更多命令并删除其他脚本，以实现持久性并创建备份通道。

攻击开始后不久，Sophos就收到了警报，并立即采取了措施，并提供了一个补丁程序来解决在几天之内推出的漏洞。

安全公司透露，攻击者部署的文件之一将充当“僵尸交换机”，在重新启动或重启后在未修补的防火墙上删除特定文件时发起勒索软件攻击。

由于部署的补丁程序可以解决漏洞并无需重新启动即可删除恶意代码，因此不会触发勒索软件攻击。意识到这一点后，对手决定更改一些以前部署的shell脚本，甚至用勒索软件有效负载替换其中一个。

“在这一点上，袭击者旨在无需防火墙重新启动，但Sophos的已采取额外的步骤来干预这打乱了进攻的这个阶段交付勒索软件”的安全公司说。

最初的利用后攻击将以第二阶段中部署的脚本之一开始，该脚本旨在将Linux ELF二进制文件删除到文件系统中。Sophos解释说，该文件充当死人开关，旨在从ragnarokfromasgard [。] com网站下载并执行另一个名为patch.sh的 shell脚本。

该脚本将执行各种任务，包括解析防火墙的ARP缓存的内容，在其中存储本地网络上主机的（内部）IP和MAC地址。接下来，它将使用该列表扫描主机上的端口445 / tcp，并确定它们是否可访问Windows系统。

此外，一个名为“ hotfix”的文件将确定计算机运行的是32位还是64位Windows，然后尝试利用EternalBlue漏洞和DoublePulsar shellcode将DLL直接传递并执行到内存中（针对explorer.exe））。

然后，DLL将尝试通过HTTP端口81 / tcp 从9sg [。] me获取可执行有效负载。托管域并提供修补程序有效负载的IP地址参与了追溯到2018年的攻击，并且与被称为NOTROBIN的威胁参与者相关联。

在意识到所谓的死人开关不起作用之后，攻击者将脚本下载替换为下载名为2own的渗透工具的脚本，该脚本设置为下载ELF二进制文件，而该脚本又获取了勒索软件。Sophos解释说，这样做是为了提高勒索软件的攻击顺序。

将被丢弃的勒索软件称为Ragnarok，它已与针对网络设备的各种活动相关联，其中包括针对Citrix ADC服务器的一系列活动。

该安全公司还指出，此攻击中实施的EternalBlue漏洞利用仅适用于未修补的Windows 7版本。

“ Ragnarok是一种比其他勒索软件更不常见的威胁，而且看来，该威胁行为者的作案手法以及他们用来提供这种勒索软件的工具与许多其他威胁行为者截然不同。Sophos总结道：“观察到一个Linux ELF应用程序正试图将恶意软件跨平台传播到Windows计算机，这是一个罕见且值得注意的事件。”