Новости Ошибка Fortinet стала главным инструментом новой хакерской кампании

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Халатность администраторов приводит к краже корпоративных данных.


65t13hpw0q5wv2k6pmdxer63y0arxhd0.jpg


Forescout Для просмотра ссылки Войди или Зарегистрируйся новую кампанию, использующую Для просмотра ссылки Войди или Зарегистрируйся в устройствах Fortinet FortiClient EMS для распространения вредоносных программ.

Уязвимость SQL-инъекции Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.8) позволяет неавторизованному злоумышленнику выполнять код с помощью специально сформированных запросов. Для осуществления атаки не требуется взаимодействия с пользователем, и она довольно проста в реализации.

Forescout отслеживает кампанию под кодовым названием Connect:fun из-за использования программ ScreenConnect и Powerfun после взлома. Атака нацелена на неназванную медиакомпанию, уязвимое устройство FortiClient EMS которой было доступно в Интернете.

Напомним, что 21 марта в сети Для просмотра ссылки Войди или Зарегистрируйся PoC-эксплойт для указанной уязвимости. 25 марта с помощью эксплойта был запущен код PowerShell, который загрузил скрипт Metasploit Для просмотра ссылки Войди или Зарегистрируйся и инициировал обратное соединение с другим IP-адресом. Также было выявлено использование SQL-запросов для загрузки ScreenConnect с удалённого домена через утилиту certutil, после чего программа устанавливалась и налаживала связь с сервером управления.

Forescout отмечает, что хакеры, активные как минимум с 2022 года, специализируются на атаках на устройства Fortinet, используя в своей инфраструктуре вьетнамский и немецкий языки. Активность киберпреступников указывает на наличие ручного компонента в атаках, подтверждаемого многочисленными неудачными попытками загрузки и установки программ, а также длительными паузами между попытками. Это подтверждает, что речь идет о специализированной кампании, а не о массовых автоматизированных атаках.

Компании рекомендуется устанавливать исправления от Fortinet для нейтрализации угроз, контролировать подозрительный трафик и использовать файрволы для блокировки потенциально вредоносных запросов.
 
Источник новости
www.securitylab.ru

Похожие темы