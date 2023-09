De US Cybersecurity and Infrastructure Security Agency (CISA) hat in warskôging útjûn oer meardere naasje-steat-akteurs dy't feiligens kwetsberens brûke yn Fortinet FortiOS SSL-VPN en Zoho ManageEngine ServiceDesk Plus. Dizze akteurs krije sûnder foech tagong ta kompromittearre systemen en fêstigje persistinsje.

De warskôging, dy't tegearre waard publisearre troch CISA, it Federal Bureau of Investigation (FBI), en de Cyber ​​National Mission Force (CNMF), stelt dat naasje-steat avansearre persistente bedriging (APT) akteurs CVE-2022-47966 hawwe eksploitearre. Dizze kwetsberens jout unautorisearre tagong ta Zoho ManageEngine ServiceDesk Plus, dy't liedt ta it oprjochtsjen fan persistinsje en laterale beweging fia netwurken.

Hoewol de identiteiten fan 'e belutsen bedrigingsgroepen net bekend makke binne, hat it US Cyber ​​​​Command (USCYBERCOM) de mooglike belutsenens fan Iraanske naasje-steat-bemanning suggerearre.

Dizze befinings binne basearre op in ynsidint-antwurd-engagement útfierd troch CISA by in net neamde organisaasje fan 'e loftfeartsektor fan febrewaris oant april 2023. De kweade aktiviteit is nei alle gedachten begon al op 18 jannewaris 2023.

De CVE-2022-47966 kwetsberens ferwiist nei in krityske flater dy't it útfieren fan koade op ôfstân mooglik makket, wêrtroch net-autentikearre oanfallers kwetsbere eksimplaren folslein oernimme kinne.

Sadree't de oanfallers mei súkses eksploitearre de kwetsberens, se krigen root-nivo tagong ta de webtsjinner. Se gongen doe troch om ekstra malware te downloaden, it netwurk op te rekkenjen, bestjoerlike brûkersbewizen te sammeljen en laterale binnen it netwurk te bewegen.

It is noch net bekend oft proprietêre ynformaasje stellen is as gefolch fan dizze oanfallen.

De organisaasje yn kwestje waard ek ynbrutsen mei in twadde earste tagongsvektor, dy't belutsen wie by it eksploitearjen fan CVE-2022-42475, in slimme bug yn Fortinet FortiOS SSL-VPN, om tagong te krijen ta de firewall.

CISA hat oanjûn dat de oanfallers kompromittearre en brûkte útskeakele legitime bestjoerlike akkount bewiisbrieven fan in earder ynhierd oannimmer. It waard befêstige dat de brûker wie útskeakele foardat de waarnommen kweade aktiviteit barde.

De oanfallers waarden observearre it inisjearjen fan meardere Transport Layer Security (TLS)-fersifere sesjes nei ferskate IP-adressen, wat oanjout dat gegevensferfier fan it kompromitteare firewall-apparaat oanjûn. Se brûkten ek jildige bewiisbrieven om fan 'e firewall nei in webserver te ferpleatsen en webshells yn te setten foar tagong ta efterdoar.

Yn beide gefallen hawwe de bedrigingsakteurs bestjoerlike akkountgegevens útskeakele en logs fan krityske servers wiske om har spoaren te dekken en bewiis fan har aktiviteiten te wiskjen.

Tidens de oanfallen waard it útfierbere anydesk.exe waarnommen op trije hosts tusken begjin febrewaris en mids maart 2023. De bedrigingsakteurs kompromissen ien host en ferpleatsen doe lateraal om de útfierbere op de oare twa te ynstallearjen.

De metoade foar it ynstallearjen fan AnyDesk op elke masine is op it stuit ûnbekend. De akteurs brûkten ek de legitime ConnectWise ScreenConnect-kliïnt om it credential-dumping-ark Mimikatz te downloaden en út te fieren.

De oanfallers besochten in bekende Apache Log4j-kwetsberens (CVE-2021-44228 of Log4Shell) yn it ServiceDesk-systeem te eksploitearjen foar earste tagong, mar wiene net slagge.

Om te beskermjen tsjin dizze oanhâldende oanfallen, wurdt organisaasjes advisearre om de lêste updates oan te passen, te kontrolearjen op unautorisearre gebrûk fan software foar tagong op ôfstân, en ûnnedige akkounts en groepen te eliminearjen om har eksploitaasje te foarkommen.

