Агентство кибербезопасности и безопасности инфраструктуры США (CISA) в четверг предупредило, что многочисленные субъекты национальных государств используют недостатки безопасности в Fortinet FortiOS SSL-VPN и Zoho ManageEngine ServiceDesk Plus для получения несанкционированного доступа и обеспечения сохраняемости в скомпрометированных системах.
"Нация-государство сложных постоянных угроз (apt) субъекты эксплуатируют уязвимость CVE-2022-47966 для получения несанкционированного доступа к общедоступной приложения (с Zoho ManageEngine служба технической поддержки плюс), установить настойчивость, и горизонтальные перемещения через сеть", - сообщается в совместном оповещения публикуемых Агентством, вместе с Федеральным бюро расследований (ФБР), кибер-и Национальной миссии (CNMF).
Личности групп угроз, стоящих за атаками, не разглашаются, хотя Киберкомандование США (USCYBERCOM) намекнуло на причастность иранских группировок из национальных государств.
Выводы основаны на программе реагирования на инциденты, проведенной CISA в неназванной организации авиационного сектора с февраля по апрель 2023 года. Есть основания полагать, что вредоносная активность началась еще 18 января 2023 года.
CVE-2022-47966 относится к критической ошибке удаленного выполнения кода, которая позволяет злоумышленнику, не прошедшему проверку подлинности, полностью завладеть уязвимыми экземплярами.
После успешной эксплуатации CVE-2022-47966 субъекты угрозы получили корневой доступ к веб-серверу и предприняли шаги для загрузки дополнительного вредоносного ПО, нумерации сети, сбора учетных данных администратора и горизонтального перемещения по сети.
Не сразу ясно, была ли в результате украдена какая-либо конфиденциальная информация.
Также утверждается, что объект, о котором идет речь, был взломан с использованием второго начального вектора доступа, который повлек за собой использование CVE-2022-42475, серьезной ошибки в Fortinet FortiOS SSL-VPN, для доступа к брандмауэру.
"Было обнаружено, что злоумышленники APT скомпрометировали и использовали отключенные законные учетные данные административной учетной записи от ранее нанятого подрядчика, организация которого подтвердила, что пользователь был отключен до наблюдаемой активности", — говорится в сообщении CISA.
Также было замечено, как злоумышленники инициировали сеансы защиты на нескольких транспортных уровнях (TLS) с шифрованием на нескольких IP-адресах, указывая на передачу данных с устройства брандмауэра, в дополнение к использованию действительных учетных данных для перехода с брандмауэра на веб-сервер и развертывания веб-оболочек для доступа с черного хода.
Сообщается, что в обоих случаях злоумышленники отключили учетные данные учетной записи администратора и удалили журналы с нескольких критически важных серверов в среде в попытке стереть судебно-медицинский след своих действий.
"В период с начала февраля по середину марта 2023 года anydesk.exe было замечено на трех хостах", - отметила CISA. "Злоумышленники APT скомпрометировали один хост и переместились вбок, чтобы установить исполняемый файл на оставшиеся два".
В настоящее время неизвестно, как AnyDesk был установлен на каждом компьютере. Другой метод, используемый в атаках, заключался в использовании законного клиента ConnectWise ScreenConnect для загрузки и запуска инструмента сброса учетных данных Mimikatz.
Более того, злоумышленники пытались использовать известную уязвимость Apache Log4j (CVE-2021-44228 или Log4Shell) в системе ServiceDesk для первоначального доступа, но в конечном итоге потерпели неудачу.
В свете продолжающегося использования уязвимостей в системе безопасности организациям рекомендуется применять последние обновления, отслеживать несанкционированное использование программного обеспечения удаленного доступа и удалять ненужные учетные записи и группы, чтобы предотвратить злоупотребление ими.
"Нация-государство сложных постоянных угроз (apt) субъекты эксплуатируют уязвимость CVE-2022-47966 для получения несанкционированного доступа к общедоступной приложения (с Zoho ManageEngine служба технической поддержки плюс), установить настойчивость, и горизонтальные перемещения через сеть", - сообщается в совместном оповещения публикуемых Агентством, вместе с Федеральным бюро расследований (ФБР), кибер-и Национальной миссии (CNMF).
Личности групп угроз, стоящих за атаками, не разглашаются, хотя Киберкомандование США (USCYBERCOM) намекнуло на причастность иранских группировок из национальных государств.
Выводы основаны на программе реагирования на инциденты, проведенной CISA в неназванной организации авиационного сектора с февраля по апрель 2023 года. Есть основания полагать, что вредоносная активность началась еще 18 января 2023 года.
CVE-2022-47966 относится к критической ошибке удаленного выполнения кода, которая позволяет злоумышленнику, не прошедшему проверку подлинности, полностью завладеть уязвимыми экземплярами.
После успешной эксплуатации CVE-2022-47966 субъекты угрозы получили корневой доступ к веб-серверу и предприняли шаги для загрузки дополнительного вредоносного ПО, нумерации сети, сбора учетных данных администратора и горизонтального перемещения по сети.
Не сразу ясно, была ли в результате украдена какая-либо конфиденциальная информация.
Также утверждается, что объект, о котором идет речь, был взломан с использованием второго начального вектора доступа, который повлек за собой использование CVE-2022-42475, серьезной ошибки в Fortinet FortiOS SSL-VPN, для доступа к брандмауэру.
"Было обнаружено, что злоумышленники APT скомпрометировали и использовали отключенные законные учетные данные административной учетной записи от ранее нанятого подрядчика, организация которого подтвердила, что пользователь был отключен до наблюдаемой активности", — говорится в сообщении CISA.
Также было замечено, как злоумышленники инициировали сеансы защиты на нескольких транспортных уровнях (TLS) с шифрованием на нескольких IP-адресах, указывая на передачу данных с устройства брандмауэра, в дополнение к использованию действительных учетных данных для перехода с брандмауэра на веб-сервер и развертывания веб-оболочек для доступа с черного хода.
Сообщается, что в обоих случаях злоумышленники отключили учетные данные учетной записи администратора и удалили журналы с нескольких критически важных серверов в среде в попытке стереть судебно-медицинский след своих действий.
"В период с начала февраля по середину марта 2023 года anydesk.exe было замечено на трех хостах", - отметила CISA. "Злоумышленники APT скомпрометировали один хост и переместились вбок, чтобы установить исполняемый файл на оставшиеся два".
В настоящее время неизвестно, как AnyDesk был установлен на каждом компьютере. Другой метод, используемый в атаках, заключался в использовании законного клиента ConnectWise ScreenConnect для загрузки и запуска инструмента сброса учетных данных Mimikatz.
Более того, злоумышленники пытались использовать известную уязвимость Apache Log4j (CVE-2021-44228 или Log4Shell) в системе ServiceDesk для первоначального доступа, но в конечном итоге потерпели неудачу.
В свете продолжающегося использования уязвимостей в системе безопасности организациям рекомендуется применять последние обновления, отслеживать несанкционированное использование программного обеспечения удаленного доступа и удалять ненужные учетные записи и группы, чтобы предотвратить злоупотребление ими.
