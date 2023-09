Ang US Cybersecurity and Infrastructure Security Agency (CISA) ay naglabas ng babala tungkol sa maraming aktor ng bansang estado na nagsasamantala sa mga kahinaan sa seguridad sa Fortinet FortiOS SSL-VPN at Zoho ManageEngine ServiceDesk Plus. Ang mga aktor na ito ay nakakakuha ng hindi awtorisadong pag-access sa mga nakompromisong sistema at nagtatatag ng pagtitiyaga.

Ang alerto, na magkasamang inilathala ng CISA, Federal Bureau of Investigation (FBI), at Cyber ​​National Mission Force (CNMF), ay nagsasaad na ang mga aktor ng advanced persistent threat (APT) na bansa ay nagsasamantala sa CVE-2022-47966. Ang kahinaan na ito ay nagbibigay-daan sa hindi awtorisadong pag-access sa Zoho ManageEngine ServiceDesk Plus, na humahantong sa pagtatatag ng pagtitiyaga at paggalaw sa gilid sa pamamagitan ng mga network.

Kahit na ang mga pagkakakilanlan ng mga grupo ng banta na kasangkot ay hindi isiniwalat, ang US Cyber ​​Command (USCYBERCOM) ay nagmungkahi ng posibleng paglahok ng Iranian nation-state crews.

Ang mga natuklasang ito ay batay sa isang pakikipag-ugnayan sa pagtugon sa insidente na isinagawa ng CISA sa isang hindi pinangalanang organisasyon ng aeronautical sector mula Pebrero hanggang Abril 2023. Ang malisyosong aktibidad ay pinaniniwalaang nagsimula noong Enero 18, 2023.

Ang kahinaan ng CVE-2022-47966 ay tumutukoy sa isang kritikal na depekto na nagbibigay-daan sa pagpapatupad ng malayuang code, na nagpapahintulot sa mga hindi na-authenticate na umaatake na ganap na sakupin ang mga masusugatan na pagkakataon.

Sa sandaling matagumpay na sinamantala ng mga umaatake ang kahinaan, nakakuha sila ng root-level na access sa web server. Pagkatapos ay nagpatuloy sila sa pag-download ng karagdagang malware, pag-enumerate sa network, pagkolekta ng mga kredensyal ng administratibong user, at paglipat sa gilid sa loob ng network.

Hindi pa alam kung ang anumang pagmamay-ari na impormasyon ay ninakaw bilang resulta ng mga pag-atake na ito.

Ang organisasyong pinag-uusapan ay nilabag din gamit ang pangalawang paunang access vector, na kinabibilangan ng pagsasamantala sa CVE-2022-42475, isang matinding bug sa Fortinet FortiOS SSL-VPN, upang ma-access ang firewall.

Ipinahayag ng CISA na ang mga umaatake ay nakompromiso at gumamit ng mga hindi pinagana na lehitimong administratibong mga kredensyal ng account mula sa isang dating upahang kontratista. Nakumpirma na ang user ay hindi pinagana bago nangyari ang naobserbahang malisyosong aktibidad.

Ang mga umaatake ay naobserbahang nagpasimula ng maraming Transport Layer Security (TLS) na naka-encrypt na mga session sa iba't ibang IP address, na nagpapahiwatig ng paglipat ng data mula sa nakompromisong firewall device. Ginamit din nila ang mga wastong kredensyal upang lumipat mula sa firewall patungo sa isang web server at mag-deploy ng mga web shell para sa backdoor access.

Sa parehong mga pagkakataon, hindi pinagana ng mga aktor ng banta ang mga kredensyal ng administratibong account at tinanggal ang mga log mula sa mga kritikal na server upang masakop ang kanilang mga track at burahin ang ebidensya ng kanilang mga aktibidad.

Sa panahon ng mga pag-atake, naobserbahan ang anydesk.exe executable sa tatlong host sa pagitan ng unang bahagi ng Pebrero at kalagitnaan ng Marso 2023. Nakompromiso ng mga threat actor ang isang host at pagkatapos ay lumipat sa gilid upang i-install ang executable sa dalawa pa.

Ang paraan ng pag-install ng AnyDesk sa bawat makina ay kasalukuyang hindi alam. Ginamit din ng mga aktor ang lehitimong ConnectWise ScreenConnect client para i-download at patakbuhin ang credential dumping tool na Mimikatz.

Sinubukan ng mga umaatake na samantalahin ang isang kilalang kahinaan ng Apache Log4j (CVE-2021-44228 o Log4Shell) sa SystemDesk system para sa paunang pag-access ngunit hindi sila nagtagumpay.

Upang maprotektahan laban sa mga patuloy na pag-atake na ito, pinapayuhan ang mga organisasyon na ilapat ang pinakabagong mga update, subaybayan ang hindi awtorisadong paggamit ng remote access software, at alisin ang mga hindi kinakailangang account at grupo upang maiwasan ang kanilang pagsasamantala.

Pinagmulan: [Pangalan ng Pinagmulan] (Walang URL)