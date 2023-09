By

US Cybersecurity and Infrastructure Security Agency (CISA) Fortinet FortiOS SSL-VPN ಮತ್ತು Zoho ManageEngine ServiceDesk Plus ನಲ್ಲಿ ಅನೇಕ ರಾಷ್ಟ್ರ-ರಾಜ್ಯ ನಟರು ಭದ್ರತಾ ದೋಷಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಬಗ್ಗೆ ಎಚ್ಚರಿಕೆಯನ್ನು ನೀಡಿದೆ. ಈ ನಟರು ರಾಜಿ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ಅನಧಿಕೃತ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುತ್ತಿದ್ದಾರೆ ಮತ್ತು ನಿರಂತರತೆಯನ್ನು ಸ್ಥಾಪಿಸುತ್ತಿದ್ದಾರೆ.

CISA, ಫೆಡರಲ್ ಬ್ಯೂರೋ ಆಫ್ ಇನ್ವೆಸ್ಟಿಗೇಷನ್ (FBI), ಮತ್ತು ಸೈಬರ್ ನ್ಯಾಷನಲ್ ಮಿಷನ್ ಫೋರ್ಸ್ (CNMF) ಜಂಟಿಯಾಗಿ ಪ್ರಕಟಿಸಿದ ಎಚ್ಚರಿಕೆಯು ರಾಷ್ಟ್ರ-ರಾಜ್ಯ ಮುಂದುವರಿದ ನಿರಂತರ ಬೆದರಿಕೆ (APT) ನಟರು CVE-2022-47966 ಅನ್ನು ಬಳಸಿಕೊಳ್ಳುತ್ತಿದ್ದಾರೆ ಎಂದು ಹೇಳುತ್ತದೆ. ಈ ದುರ್ಬಲತೆಯು Zoho ManageEngine ServiceDesk Plus ಗೆ ಅನಧಿಕೃತ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುತ್ತದೆ, ಇದು ನೆಟ್‌ವರ್ಕ್‌ಗಳ ಮೂಲಕ ನಿರಂತರತೆ ಮತ್ತು ಪಾರ್ಶ್ವ ಚಲನೆಯ ಸ್ಥಾಪನೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ.

ಒಳಗೊಂಡಿರುವ ಬೆದರಿಕೆ ಗುಂಪುಗಳ ಗುರುತುಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಲಾಗಿಲ್ಲವಾದರೂ, US ಸೈಬರ್ ಕಮಾಂಡ್ (USCYBERCOM) ಇರಾನಿನ ರಾಷ್ಟ್ರ-ರಾಜ್ಯ ಸಿಬ್ಬಂದಿಗಳ ಸಂಭಾವ್ಯ ಒಳಗೊಳ್ಳುವಿಕೆಯನ್ನು ಸೂಚಿಸಿದೆ.

ಈ ಸಂಶೋಧನೆಗಳು ಫೆಬ್ರವರಿಯಿಂದ ಏಪ್ರಿಲ್ 2023 ರವರೆಗೆ ಹೆಸರಿಸದ ಏರೋನಾಟಿಕಲ್ ವಲಯದ ಸಂಸ್ಥೆಯಲ್ಲಿ CISA ನಡೆಸಿದ ಘಟನೆಯ ಪ್ರತಿಕ್ರಿಯೆಯ ನಿಶ್ಚಿತಾರ್ಥವನ್ನು ಆಧರಿಸಿವೆ. ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯು ಜನವರಿ 18, 2023 ರಿಂದ ಪ್ರಾರಂಭವಾಗಿದೆ ಎಂದು ನಂಬಲಾಗಿದೆ.

CVE-2022-47966 ದೌರ್ಬಲ್ಯವು ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವ ನಿರ್ಣಾಯಕ ನ್ಯೂನತೆಯನ್ನು ಸೂಚಿಸುತ್ತದೆ, ದೃಢೀಕರಿಸದ ಆಕ್ರಮಣಕಾರರು ಸಂಪೂರ್ಣವಾಗಿ ದುರ್ಬಲವಾದ ನಿದರ್ಶನಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.

ಆಕ್ರಮಣಕಾರರು ದುರ್ಬಲತೆಯನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಬಳಸಿಕೊಂಡ ನಂತರ, ಅವರು ವೆಬ್ ಸರ್ವರ್‌ಗೆ ಮೂಲ-ಮಟ್ಟದ ಪ್ರವೇಶವನ್ನು ಪಡೆದರು. ನಂತರ ಅವರು ಹೆಚ್ಚುವರಿ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು, ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ಎಣಿಸಲು, ಆಡಳಿತಾತ್ಮಕ ಬಳಕೆದಾರರ ರುಜುವಾತುಗಳನ್ನು ಸಂಗ್ರಹಿಸಲು ಮತ್ತು ನೆಟ್‌ವರ್ಕ್‌ನೊಳಗೆ ಪಾರ್ಶ್ವವಾಗಿ ಚಲಿಸಲು ಮುಂದಾದರು.

ಈ ದಾಳಿಯ ಪರಿಣಾಮವಾಗಿ ಯಾವುದೇ ಸ್ವಾಮ್ಯದ ಮಾಹಿತಿಯನ್ನು ಕಳವು ಮಾಡಲಾಗಿದೆಯೇ ಎಂಬುದು ಇನ್ನೂ ತಿಳಿದಿಲ್ಲ.

ಪ್ರಶ್ನೆಯಲ್ಲಿರುವ ಸಂಸ್ಥೆಯು ಫೈರ್‌ವಾಲ್ ಅನ್ನು ಪ್ರವೇಶಿಸುವ ಸಲುವಾಗಿ Fortinet FortiOS SSL-VPN ನಲ್ಲಿನ ತೀವ್ರ ದೋಷವಾದ CVE-2022-42475 ಅನ್ನು ಬಳಸಿಕೊಳ್ಳುವುದನ್ನು ಒಳಗೊಂಡಿರುವ ಎರಡನೇ ಆರಂಭಿಕ ಪ್ರವೇಶ ವೆಕ್ಟರ್ ಅನ್ನು ಸಹ ಉಲ್ಲಂಘಿಸಲಾಗಿದೆ.

ದಾಳಿಕೋರರು ರಾಜಿ ಮಾಡಿಕೊಂಡಿದ್ದಾರೆ ಮತ್ತು ಹಿಂದೆ ನೇಮಕಗೊಂಡ ಗುತ್ತಿಗೆದಾರರಿಂದ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾದ ಕಾನೂನುಬದ್ಧ ಆಡಳಿತಾತ್ಮಕ ಖಾತೆಯ ರುಜುವಾತುಗಳನ್ನು ಬಳಸಿದ್ದಾರೆ ಎಂದು CISA ಹೇಳಿದೆ. ಗಮನಿಸಿದ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆ ಸಂಭವಿಸುವ ಮೊದಲು ಬಳಕೆದಾರರನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ ಎಂದು ದೃಢಪಡಿಸಲಾಗಿದೆ.

ದಾಳಿಕೋರರು ಬಹು ಸಾರಿಗೆ ಲೇಯರ್ ಸೆಕ್ಯುರಿಟಿ (TLS)-ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸೆಷನ್‌ಗಳನ್ನು ವಿವಿಧ IP ವಿಳಾಸಗಳಿಗೆ ಪ್ರಾರಂಭಿಸುವುದನ್ನು ಗಮನಿಸಲಾಗಿದೆ, ಇದು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಫೈರ್‌ವಾಲ್ ಸಾಧನದಿಂದ ಡೇಟಾ ವರ್ಗಾವಣೆಯನ್ನು ಸೂಚಿಸುತ್ತದೆ. ಫೈರ್‌ವಾಲ್‌ನಿಂದ ವೆಬ್ ಸರ್ವರ್‌ಗೆ ಸರಿಸಲು ಮತ್ತು ಬ್ಯಾಕ್‌ಡೋರ್ ಪ್ರವೇಶಕ್ಕಾಗಿ ವೆಬ್ ಶೆಲ್‌ಗಳನ್ನು ನಿಯೋಜಿಸಲು ಅವರು ಮಾನ್ಯ ರುಜುವಾತುಗಳನ್ನು ಸಹ ಹತೋಟಿಗೆ ತಂದರು.

ಎರಡೂ ಸಂದರ್ಭಗಳಲ್ಲಿ, ಬೆದರಿಕೆ ನಟರು ಆಡಳಿತಾತ್ಮಕ ಖಾತೆಯ ರುಜುವಾತುಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿದ್ದಾರೆ ಮತ್ತು ಅವರ ಟ್ರ್ಯಾಕ್‌ಗಳನ್ನು ಕವರ್ ಮಾಡಲು ಮತ್ತು ಅವರ ಚಟುವಟಿಕೆಗಳ ಪುರಾವೆಗಳನ್ನು ಅಳಿಸಲು ನಿರ್ಣಾಯಕ ಸರ್ವರ್‌ಗಳಿಂದ ಲಾಗ್‌ಗಳನ್ನು ಅಳಿಸಿದ್ದಾರೆ.

ದಾಳಿಯ ಸಮಯದಲ್ಲಿ, anydesk.exe ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಅನ್ನು ಮೂರು ಹೋಸ್ಟ್‌ಗಳಲ್ಲಿ ಫೆಬ್ರವರಿ ಆರಂಭ ಮತ್ತು ಮಾರ್ಚ್ 2023 ರ ಮಧ್ಯದಲ್ಲಿ ಗಮನಿಸಲಾಯಿತು. ಬೆದರಿಕೆ ನಟರು ಒಂದು ಹೋಸ್ಟ್ ಅನ್ನು ರಾಜಿ ಮಾಡಿಕೊಂಡರು ಮತ್ತು ನಂತರ ಇತರ ಎರಡರಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಸ್ಥಾಪಿಸಲು ಪಾರ್ಶ್ವವಾಗಿ ಚಲಿಸಿದರು.

ಪ್ರತಿ ಗಣಕದಲ್ಲಿ AnyDesk ಅನ್ನು ಸ್ಥಾಪಿಸುವ ವಿಧಾನವು ಪ್ರಸ್ತುತ ತಿಳಿದಿಲ್ಲ. ರುಜುವಾತು ಡಂಪಿಂಗ್ ಟೂಲ್ ಮಿಮಿಕಾಟ್ಜ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ಮತ್ತು ಚಲಾಯಿಸಲು ನಟರು ಕಾನೂನುಬದ್ಧ ಕನೆಕ್ಟ್‌ವೈಸ್ ಸ್ಕ್ರೀನ್‌ಕನೆಕ್ಟ್ ಕ್ಲೈಂಟ್ ಅನ್ನು ಸಹ ಬಳಸಿದರು.

ದಾಳಿಕೋರರು ಆರಂಭಿಕ ಪ್ರವೇಶಕ್ಕಾಗಿ ಸರ್ವಿಸ್‌ಡೆಸ್ಕ್ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ತಿಳಿದಿರುವ Apache Log4j ದುರ್ಬಲತೆಯನ್ನು (CVE-2021-44228 ಅಥವಾ Log4Shell) ಬಳಸಿಕೊಳ್ಳಲು ಪ್ರಯತ್ನಿಸಿದರು ಆದರೆ ಯಶಸ್ವಿಯಾಗಲಿಲ್ಲ.

ನಡೆಯುತ್ತಿರುವ ಈ ದಾಳಿಗಳ ವಿರುದ್ಧ ರಕ್ಷಿಸಲು, ಸಂಸ್ಥೆಗಳಿಗೆ ಇತ್ತೀಚಿನ ನವೀಕರಣಗಳನ್ನು ಅನ್ವಯಿಸಲು ಸಲಹೆ ನೀಡಲಾಗುತ್ತದೆ, ರಿಮೋಟ್ ಪ್ರವೇಶ ಸಾಫ್ಟ್‌ವೇರ್‌ನ ಅನಧಿಕೃತ ಬಳಕೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಿ ಮತ್ತು ಅವರ ಶೋಷಣೆಯನ್ನು ತಡೆಯಲು ಅನಗತ್ಯ ಖಾತೆಗಳು ಮತ್ತು ಗುಂಪುಗಳನ್ನು ತೆಗೆದುಹಾಕಲು ಸೂಚಿಸಲಾಗುತ್ತದೆ.

ಮೂಲ: [ಮೂಲ ಹೆಸರು] (URL ಇಲ್ಲ)