DriftingCloud
2022. március 25-én a Sophos biztonsági tájékoztatót tett közzé a CVE-2022-1040 sérülékenységről, amely a Sophos Firewall felhasználói portálját és webadminisztrátorát érinti, és kihasználható tetszőleges kód távoli futtatására. Három nappal később a vállalat arra figyelmeztetett, hogy aktívan kihasználják a sérülékenységet és több szervezetet is megtámadtak a dél-ázsiai régióban. A Volexity részletesen ismerteti egy általuk DriftingCloud néven azonosított APT csoport tevékenységét, amely március eleje óta kihasználta a sérülékenységet, azaz több mint három héttel azelőtt, hogy a Sophos kiadta a javítást. A csoport a zero-day exploitot a tűzfal feltörésére használta, valamint webshell és rosszindulatú programok telepítésére, amelyek lehetővé tették a Sophos Firewall által védett hálózaton kívüli külső rendszerek feltörését.