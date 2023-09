L'Agenzia di Sicurezza Cibernetica è Infrastruttura di i Stati Uniti (CISA) hà emessu un avvisu annantu à parechji attori naziunali chì sfruttanu e vulnerabilità di sicurezza in Fortinet FortiOS SSL-VPN è Zoho ManageEngine ServiceDesk Plus. Questi attori acquistanu un accessu micca autorizatu à i sistemi compromessi è stabiliscenu a persistenza.

L'alerta, chì hè stata publicata cumuna da CISA, l'Uffiziu Federale d'Investigazione (FBI) è a Cyber ​​​​National Mission Force (CNMF), dichjara chì l'attori di a minaccia persistente avanzata (APT) di u statu naziunale anu sfruttatu CVE-2022-47966. Questa vulnerabilità permette l'accessu micca autorizatu à Zoho ManageEngine ServiceDesk Plus, chì porta à u stabilimentu di a persistenza è u muvimentu laterale attraversu e rete.

Ancu s'è l'identità di i gruppi di minaccia implicati ùn sò micca stati divulgati, u Cyber ​​Command di i Stati Uniti (USCYBERCOM) hà suggeritu l'implicazione pussibule di l'equipaggiu di u statu-nazione iranianu.

Questi risultati sò basati nantu à un ingaghjamentu di risposta à l'incidentu realizatu da CISA à una urganizazione di u settore aeronauticu senza nome da ferraghju à aprile 2023. L'attività maliciosa hè stata creata da u 18 di ghjennaghju di u 2023.

A vulnerabilità CVE-2022-47966 si riferisce à un difettu criticu chì permette l'esecuzione di codice remota, chì permette à l'attaccanti micca autenticati di ripiglià cumplettamente i casi vulnerabili.

Una volta chì l'attaccanti anu sfruttatu bè a vulnerabilità, anu acquistatu accessu à u nivellu di root à u servitore web. Dopu avè procedutu à scaricà malware supplementu, enumerate a rete, raccoglie credenziali di l'utilizatori amministrativi è si move lateralmente in a reta.

Ùn hè micca cunnisciutu ancu s'ellu hè stata arrubbata alcuna infurmazione proprietaria per via di questi attacchi.

L'urganizazione in quistione hè stata ancu violata utilizendu un secondu vettore d'accessu iniziale, chì implicava sfruttà CVE-2022-42475, un bug severu in Fortinet FortiOS SSL-VPN, per accede à u firewall.

CISA hà dichjaratu chì l'attaccanti anu cumprumissu è utilizatu credenziali di cunti amministrativi legittimi disattivati ​​da un cuntrattu previamente assuciatu. Hè statu cunfirmatu chì l'utilizatore hè statu disattivatu prima chì l'attività maliciosa osservata hè accaduta.

L'attaccanti sò stati osservati chì inizianu parechje sessioni criptate di Transport Layer Security (TLS) à diversi indirizzi IP, chì indicanu u trasferimentu di dati da u dispositivu firewall cumprumissu. Anu ancu sfruttatu credenziali valide per passà da u firewall à un servitore web è implementà cunchiglia web per accessu backdoor.

In i dui casi, l'attori di a minaccia anu disattivatu e credenziali di u contu amministrativu è anu eliminatu i log da i servitori critichi per copre e so tracce è sguassà evidenza di e so attività.

Duranti l'attacchi, l'executable anydesk.exe hè statu osservatu nantu à trè ospiti trà u principiu di ferraghju è a mità di marzu di u 2023. L'attori di minaccia anu cumprumissu un òspite è poi si movenu lateralmente per installà l'eseguibile nantu à l'altri dui.

U metudu di stallà AnyDesk in ogni macchina hè attualmente scunnisciutu. L'attori anu utilizatu ancu u cliente ConnectWise ScreenConnect legittimu per scaricà è eseguisce l'utillita di dumping di credenziali Mimikatz.

L'attaccanti anu pruvatu à sfruttà una vulnerabilità Apache Log4j cunnisciuta (CVE-2021-44228 o Log4Shell) in u sistema ServiceDesk per l'accessu iniziale, ma ùn anu successu.

Per prutezzione di sti attacchi in corso, l'urganisazioni sò cunsigliate per applicà l'ultime aghjurnamenti, monitorà l'usu micca autorizatu di u software di accessu remotu, è eliminà i cunti è i gruppi innecessarii per impediscenu a so sfruttamentu.

