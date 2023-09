By

Ang US Cybersecurity and Infrastructure Security Agency (CISA) nagpagawas ug pasidaan bahin sa daghang mga aktor sa nasud-estado nga nagpahimulos sa mga kahuyangan sa seguridad sa Fortinet FortiOS SSL-VPN ug Zoho ManageEngine ServiceDesk Plus. Kini nga mga aktor nakakuha og dili awtorisado nga pag-access sa mga nakompromiso nga sistema ug nagtukod sa pagpadayon.

Ang alerto, nga hiniusang gipatik sa CISA, Federal Bureau of Investigation (FBI), ug ang Cyber ​​National Mission Force (CNMF), nag-ingon nga ang nasud-estado nga advanced persistent threat (APT) nga mga aktor nagpahimulos sa CVE-2022-47966. Kini nga kahuyangan nagtugot sa dili awtorisado nga pag-access sa Zoho ManageEngine ServiceDesk Plus, nga misangpot sa pagtukod sa pagpadayon ug lateral nga paglihok pinaagi sa mga network.

Bisan kung ang mga identidad sa mga hulga nga grupo nga nalambigit wala gibutyag, ang US Cyber ​​Command (USCYBERCOM) nagsugyot sa posibleng pag-apil sa Iranian nation-state crews.

Kini nga mga nahibal-an gibase sa usa ka pag-apil sa pagtubag sa insidente nga gihimo sa CISA sa usa ka wala hinganli nga organisasyon sa aeronautical nga sektor gikan sa Pebrero hangtod Abril 2023. Ang malisyosong kalihokan gituohan nga nagsugod kaniadtong Enero 18, 2023.

Ang kahuyang sa CVE-2022-47966 nagtumong sa usa ka kritikal nga depekto nga makapahimo sa remote code execution, nga nagtugot sa dili masaligan nga mga tig-atake sa hingpit nga pagkuha sa mga huyang nga mga higayon.

Kung malampuson nga gipahimuslan sa mga tig-atake ang pagkahuyang, nakuha nila ang lebel sa gamut nga pag-access sa web server. Nagpadayon sila sa pag-download sa dugang nga malware, pag-ihap sa network, pagkolekta sa mga kredensyal sa administratibo nga tiggamit, ug paglihok sa ulahi sulod sa network.

Wala pa mahibal-an kung adunay bisan unsang proprietary nga impormasyon ang gikawat tungod sa mga pag-atake.

Ang organisasyon nga gikuwestiyon gilapas usab gamit ang ikaduha nga inisyal nga access vector, nga naglambigit sa pagpahimulos sa CVE-2022-42475, usa ka grabe nga bug sa Fortinet FortiOS SSL-VPN, aron ma-access ang firewall.

Gipahayag sa CISA nga gikompromiso sa mga tig-atake ug gigamit ang mga disabled nga lehitimong administratibo nga mga kredensyal sa account gikan sa usa ka kanhi gisuholan nga kontraktor. Gipamatud-an nga ang user na-disable na sa wala pa mahitabo ang naobserbahang malisyoso nga kalihokan.

Ang mga tig-atake naobserbahan nga nagsugod sa daghang Transport Layer Security (TLS) nga mga sesyon nga naka-encrypt sa lainlaing mga IP address, nga nagpaila sa pagbalhin sa datos gikan sa nakompromiso nga aparato sa firewall. Gipahimuslan usab nila ang balido nga mga kredensyal aron mobalhin gikan sa firewall ngadto sa usa ka web server ug mag-deploy sa mga web shell alang sa backdoor access.

Sa duha ka mga higayon, ang mga aktor sa hulga nag-disable sa mga kredensyal sa administratibo nga account ug gitangtang ang mga log gikan sa mga kritikal nga server aron matabonan ang ilang mga track ug mapapas ang ebidensya sa ilang mga kalihokan.

Atol sa mga pag-atake, ang anydesk.exe executable naobserbahan sa tulo ka mga host tali sa sayong bahin sa Pebrero ug tunga-tunga sa Marso 2023. Gikompromiso sa mga aktor sa hulga ang usa ka host ug dayon mibalhin sa ulahi aron i-install ang executable sa laing duha.

Ang pamaagi sa pag-instalar sa AnyDesk sa matag makina wala mahibal-an karon. Gigamit usab sa mga aktor ang lehitimong kliyente sa ConnectWise ScreenConnect aron i-download ug ipadagan ang credential dumping tool nga Mimikatz.

Ang mga tig-atake misulay sa pagpahimulos sa usa ka nailhan nga kahuyangan sa Apache Log4j (CVE-2021-44228 o Log4Shell) sa sistema sa ServiceDesk alang sa inisyal nga pag-access apan wala molampos.

Aron mapanalipdan batok niining nagpadayon nga mga pag-atake, ang mga organisasyon gitambagan sa paggamit sa pinakabag-o nga mga update, pagmonitor sa dili awtorisado nga paggamit sa remote access software, ug pagwagtang sa wala kinahanglana nga mga account ug mga grupo aron mapugngan ang ilang pagpahimulos.

