Sada zakrpljenu kritičnu sigurnosnu grešku koja utiče na Fortinet FortiClient EMS maliciozni hakeri iskorištavaju kao dio cyber kampanje koja je instalirala softver za udaljenu radnu površinu kao što su AnyDesk i ScreenConnect.
Ranjivost o kojoj je riječ je CVE-2023-48788 (CVSS rezultat: 9,3), greška za SQL injekciju koja omogućava napadačima da izvršavaju neovlašteni kod ili komande slanjem posebno kreiranih paketa podataka.
Ruska firma za cyber sigurnost Kaspersky saopštila je da je napad u oktobru 2024. bio usmjeren na Windows server neimenovane kompanije koji je bio izložen internetu i imao dva otvorena porta povezana sa FortiClient EMS-om.
“Ciljana kompanija koristi ovu tehnologiju kako bi omogućila zaposlenima da preuzmu određene politike na svoje korporativne uređaje, dajući im siguran pristup Fortinet VPN-u”, navodi se u analizi od četvrtka.
Daljnjom analizom incidenta utvrđeno je da su hakeri iskoristili CVE-2023-48788 kao početni vektor pristupa, nakon čega su izbacili izvršnu datoteku ScreenConnect kako bi dobili udaljeni pristup kompromitovanom hostu.
„Nakon inicijalne instalacije, napadači su počeli da učitavaju dodatne korisne terete u kompromitovani sistem, kako bi započeli aktivnosti otkrivanja i bočnog kretanja, kao što su nabrajanje mrežnih resursa, pokušaj da se dobiju krendicijale, izvođenje tehnika izbegavanja odbrane i generisanje daljeg tipa postojanosti putem alat za daljinsko upravljanje AnyDesk“, rekao je Kaspersky.
Neki od drugih značajnih alata odbačenih tokom napada su navedeni u nastavku –
- webbrowserpassview.exe, alat za oporavak lozinke koji otkriva lozinke pohranjene u Internet Explorer (verzija 4.0 – 11.0), Mozilla Firefox (sve verzije), Google Chrome, Safari i Opera
- Mimikatz
- netpass64.exe, alat za oporavak lozinke
- netscan.exe, mrežni skener
Vjeruje se da su hakeri koji stoje iza kampanje ciljali različite kompanije locirane širom Brazila, Hrvatske, Francuske, Indije, Indonezije, Mongolije, Namibije, Perua, Španije, Švicarske, Turske i UAE koristeći različite poddomene ScreenConnect (npr. infinity.screenconnect[.]com).
Kaspersky je saopštio da je 23. oktobra 2024. otkrio daljnje pokušaje da se CVE-2023-48788 naoružava, ovaj put da bi se izvršila PowerShell skripta smještena na webhook[.] domeni kako bi “prikupila odgovore od ranjivih ciljeva” tokom skeniranja sistem podložan greškama.
Ovo otkrivanje dolazi više od osam mjeseci nakon što je kompanija za cyber sigurnost Forescout otkrila sličnu kampanju koja je uključivala iskorištavanje CVE-2023-48788 za isporuku ScreenConnect i Metasploit Powerfun sadržaja.
“Analiza ovog incidenta pomogla nam je da ustanovimo da se tehnike koje trenutno koriste napadači za postavljanje alata za daljinski pristup stalno ažuriraju i postaju sve složenije”, rekli su istraživači.
Izvor:The Hacker News
