Поделиться
Хакеры эксплуатируют старую уязвимость для распространения средств удаленного управления
Кампания, нацеленная на критическую уязвимость в продуктах Fortinet, охватила дюжину стран. Сама уязвимость была устранена еще весной.
Как влезть в чужой экран
Критическая уязвимость в FortiClient EMS стала очередной целью хакеров, сообщает «Лаборатория Касперского». «Баг» CVE-2023-48788 получил оценку 9,3 балла по шкале CVSS.
Сама по себе уязвимость открывает возможность для SQL-инъекции, что в конечном счете может привести к запуску произвольного кода или команд. Для этого потребуется отправить на уязвимый хост специально сформированные пакеты данных. Акторы, эксплуатирующие данную уязвимость, устанавливали в целевые системы средства удаленного управления, такие как AnyDesk или ScreenConnect. Сами по себе это легитимные утилиты, но ими активно пользуется и киберкриминал, и хакеры, работающие на спецслужбы.
В октябре 2024 г. специалисты «Лаборатории Касперского» выявили атаку на сервер под управлением Windows у одного из своих клиентов. Сервер был доступен извне и в нем были открыты два порта, характерные для FortiClient EMS.
В своей публикации эксперты «Лаборатории» указывают, что пострадавшая компания использовала эту технологию, чтобы сотрудники могли устанавливать на свои устройства средства безопасности и защищенного подключения к VPN-устройствам Fortinet.
Богатый арсенал
После первичной компрометации злоумышленники установили в целевую систему дополнительные модули и начали составлять карту сетевых ресурсов. Они также попытались перехватить реквизиты доступа и предпринимали меры против обнаружения.
В частности, они использовали не только ScreenConnect и AnyDesk, но и webbrowserpassview.exe, инструмент для извлечения паролей из браузеров, таких как Internet Explorer версий 4.0-11.0, Mozilla Firefox (всех версий), Google Chrome, Safari и Opera. Плюс к этому использовался сканер netscan.exe, средство восстановления паролей netpass64.exe и утилита Mimikatz.
Эксперты «Лаборатории» полагают, что актор, стоящий за атакой, ведет обширную кампанию против различных организаций во множестве стран – Бразилии, Хорватии, Франции, Индии, Индонезии, Монголии, Намибии, Перу, Испании, Швейцарии, Турции и ОАЭ. Для каждой создан отдельный субдомен ScreenConnect.
«Такой географический разброс свидетельствует о немалых ресурсах, выделенных на кампанию; скорее всего, это работа чьей-либо киберразведки, – считает Никита Павлов, эксперт по информационной безопасности компании SEQ. – В любом случае, операторы кампании эксплуатируют уязвимость, которая была устранена еще весной 2024 г., и, по-видимому, только отсутствие своевременно установленных патчей сделали атаки в принципе возможными».
По данным «Лаборатории», 23 октября 2024 г. наблюдалась попытка использовать CVE-2023-48788 для запуска скрипта PowerShell, размещенного в домене Webhook.site, чтобы «собрать ответы с уязвимых целей» во время сканирования интересующих злоумышленников систем.
Издание The Hacker News обращает внимание, что восемь месяцев назад аналогичную кампанию выявили специалисты фирмы Forescout. В том случае злоумышленники использовали ScreenConnect и Metasploit Powerfun. Нельзя исключать, что речь идет об одной и той же кампании.
Поделиться
Короткая ссылка
