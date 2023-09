D'US Cybersecurity and Infrastructure Security Agency (CISA) huet eng Warnung erausginn iwwer verschidde Nationalstaat Akteuren, déi Sécherheetsschwieregkeeten am Fortinet FortiOS SSL-VPN an Zoho ManageEngine ServiceDesk Plus ausnotzen. Dës Akteuren kréien onerlaabten Zougang zu kompromittéierte Systemer an etabléieren Persistenz.

D'Alarm, déi zesumme vum CISA, dem Federal Bureau of Investigation (FBI), an der Cyber ​​National Mission Force (CNMF) publizéiert gouf, seet datt d'Nation-Staat fortgeschratt persistent Bedrohung (APT) Akteuren CVE-2022-47966 exploitéiert hunn. Dës Schwachstelle erlaabt onerlaabten Zougang zu Zoho ManageEngine ServiceDesk Plus, wat zu der Grënnung vu Persistenz a lateral Bewegung duerch Netzwierker féiert.

Och wann d'Identitéite vun den involvéierte Bedrohungsgruppen net opgedeckt goufen, huet d'US Cyber ​​​​Command (USCYBERCOM) déi méiglech Bedeelegung vun iraneschen Nationalstaat Crew proposéiert.

Dës Erkenntnisser baséieren op engem Tëschefall-Äntwert Engagement, deen vum CISA an enger onbenannter Loftfaart Secteur Organisatioun vu Februar bis Abrëll 2023 duerchgefouert gouf. Déi béiswëlleg Aktivitéit gëtt ugeholl datt se schonn den 18. Januar 2023 ugefaang hunn.

D'CVE-2022-47966 Schwachstelle bezitt sech op e kriteschen Mängel, deen d'Ausféierung vum Ferncode erméiglecht, et erlaabt onauthentifizéierte Ugräifer ganz vulnérabel Instanzen ze iwwerhuelen.

Wann d'Ugräifer d'Schwachheet erfollegräich ausgenotzt hunn, hu se root-Niveau Zougang zum Webserver kritt. Si sinn dunn weidergaang fir zousätzlech Malware erofzelueden, d'Netzwierk opzezielen, administrativ Benotzer Umeldungsinformatioune sammelen, a lateral am Netz bewegen.

Et ass nach net gewosst ob propriétaire Informatioune geklaut goufen als Resultat vun dësen Attacken.

D'Organisatioun a Fro gouf och verletzt mat engem zweeten initialen Zougangsvektor, deen d'Exploitatioun vum CVE-2022-42475 involvéiert huet, e schwéiere Feeler am Fortinet FortiOS SSL-VPN, fir Zougang zu der Firewall ze kréien.

CISA huet uginn datt d'Ugräifer kompromittéiert a behënnert legitim Administrativ Kont Umeldungsinformatioune vun engem virdrun ugestallten Optraghueler benotzt. Et gouf bestätegt datt de Benotzer behënnert gouf ier déi observéiert béiswëlleg Aktivitéit geschitt ass.

D'Ugräifer goufen observéiert initiéiert Multiple Transport Layer Security (TLS)-verschlësselte Sessiounen op verschidden IP Adressen, wat d'Datentransfer vum kompromittéierte Firewall-Apparat ugeet. Si hunn och gëlteg Umeldungsinformatiounen benotzt fir vun der Firewall op e Webserver ze plënneren an Web Shells fir Backdoor Zougang z'installéieren.

A béide Fäll hunn d'Drohungsakteuren d'administrativ Konto-Umeldungsinformatioune behënnert a Logbicher vu kriteschen Serveren geläscht fir hir Bunnen ze decken an Beweiser vun hiren Aktivitéiten ze läschen.

Wärend den Attacken gouf den ausführbar anydesk.exe op dräi Hosten tëscht Ufank Februar a Mëtt Mäerz 2023 beobachtet. D'Drohungsakteuren hunn een Host kompromittéiert an duerno lateral geplënnert fir den Ausféierbar op deenen aneren zwee z'installéieren.

D'Methode fir AnyDesk op all Maschinn z'installéieren ass momentan onbekannt. D'Schauspiller hunn och de legitimen ConnectWise ScreenConnect Client benotzt fir de Credential Dumping Tool Mimikatz erofzelueden an ze lafen.

D'Attacker hu versicht eng bekannt Apache Log4j Schwachstelle (CVE-2021-44228 oder Log4Shell) am ServiceDesk System fir den initialen Zougang auszenotzen awer waren net erfollegräich.

Fir géint dës kontinuéierlech Attacken ze schützen, ginn Organisatiounen ugeroden déi lescht Updates z'applizéieren, iwwerwaachen fir onerlaabt Notzung vun Remote Access Software, an onnéideg Konten a Gruppen eliminéieren fir hir Ausbeutung ze vermeiden.

