Новости Black Basta и Bl00dy в деле: фронт атак на ScreenConnect продолжает расширяться

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Владельцам необновленных серверов стоит готовиться к худшему.


yg6o8lsep1bbn8dnttlosvnsxl7rt8qw.jpg


Киберпреступные группировки Black Basta и Bl00dy присоединились к Для просмотра ссылки Войди или Зарегистрируйся на уязвимые серверы ScreenConnect . Под прицелом все пользователи, которые не успели обновить свои системы.

При этом исправление для критической уязвимости обхода аутентификации (CVE-2024-1709) уже есть. Этот баг позволяет злоумышленникам создавать администраторские учетные записи на открытых серверах, удалять всех остальных пользователей и получать полный контроль над любой системой.

Хакеры начали эксплуатировать CVE-2024-1709 всего через день после выхода обновлений от ConnectWise и публикации POC-эксплоитов несколькими компаниями.

На прошлой неделе ConnectWise также исправила критическую уязвимость обхода каталогов (CVE-2024-1708), которую могут использовать только злоумышленники с высокими привилегиями.

Компания сняла все лицензионные ограничения, чтобы клиенты с просроченными лицензиями могли обезопасить себя от текущих атак, поскольку эти две проблемы затрагивают все версии ScreenConnect.

В четверг CISA также добавила Для просмотра ссылки Войди или Зарегистрируйся в свой каталог известных эксплуатируемых уязвимостей, приказав федеральным агентствам США принять меры по защите сетей до 29 февраля.

По данным Shadowserver, уязвимость уже крайне активно используется на практике — Для просмотра ссылки Войди или Зарегистрируйся нацелены на открытые онлайн серверы ScreenConnect. Сервис Для просмотра ссылки Войди или Зарегистрируйся отслеживает более 10 000 таких серверов, из которых только 1559 работают на исправленной версии 23.9.8.

Анализируя инциденты, Trend Micro обнаружила, что группировки Black Basta и Bl00dy также Для просмотра ссылки Войди или Зарегистрируйся дефекты в ScreenConnect для первоначального доступа и установки бэкдоров.

По данным аналитиков, после получения доступа к сетям жертв злоумышленники проводят разведку и повышают свои привилегии в системе. Группировка Black Basta использовала для закрепления в скомпрометированных системах инструмент Cobalt Strike. Bl00dy применяла вредоносные программы, созданные с помощью Для просмотра ссылки Войди или Зарегистрируйся Conti и LockBit.

Кроме того, злоумышленники устанавливали многофункциональный вредонос XWorm, обладающий возможностями RAT и вымогателя.

Некоторые атакующие использовали доступ к серверам ScreenConnect для установки инструментов удаленного управления, таких как Atera, Syncro или дополнительных экземпляров ConnectWise.

Специалисты компании Для просмотра ссылки Войди или Зарегистрируйся обнаружили несколько полезных нагрузок вымогателя, созданных с помощью утечки билдера LockBit, включая buhtiRansom, найденный в 30 разных сетях.

Компания Huntress также подтвердила, что CVE-2024-1709 уже была задействована во множестве инцидентов. В частности, с её помощью были атакованы местные органы власти, включая системы, связанные со службой 911, и крупная медицинская клиника.

Как заявили в компании Trend Micro после детального анализа кибератак с использованием уязвимостей ConnectWise ScreenConnect, срочное обновление до последней версии ПО — это уже не просто рекомендация, а критически важная мера.
 
Источник новости
www.securitylab.ru

Похожие темы