Siber güvenlik araştırmacıları, ScreenConnect ve Metasploit Powerfun yüklerini sunmak için Fortinet FortiClient EMS cihazlarında yakın zamanda açıklanan bir güvenlik açığından yararlanan yeni bir kampanya keşfetti.
Etkinlik, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış istekler yoluyla yetkisiz kod veya komutlar yürütmesine izin verebilecek kritik bir SQL enjeksiyon kusuru olan CVE-2023-48788’in (CVSS puanı: 9,3) istismar edilmesini içeriyor.
Siber güvenlik firması Forescout, kampanyayı kod adı altında takip ediyor Bağlantı:eğlence Kullanım sonrası için ScreenConnect ve Powerfun kullanımı sayesinde.
Saldırı, 21 Mart 2024’te kusura yönelik bir kavram kanıtlama (PoC) istismarının yayınlanmasından kısa bir süre sonra savunmasız FortiClient EMS cihazını internete maruz bırakan isimsiz bir medya şirketini hedef aldı.
Sonraki birkaç gün içinde, bilinmeyen saldırganın bu kusurdan yararlanarak ScreenConnect’i başarısız bir şekilde indirdiği ve ardından msiexec yardımcı programını kullanarak uzak masaüstü yazılımını yüklediği gözlemlendi.
Ancak 25 Mart’ta PoC açığı, Metasploit’in Powerfun betiğini indiren ve başka bir IP adresine ters bağlantı başlatan PowerShell kodunu başlatmak için kullanıldı.
Ayrıca ScreenConnect’i uzak bir alandan (“ursketz) indirmek için tasarlanmış SQL ifadeleri de tespit edildi.[.]com”), bir komut ve kontrol (C2) sunucusuyla bağlantı kurulmadan önce msiexec aracılığıyla yüklenen certutil’i kullanarak.
Arkasındaki tehdit aktörünün en az 2022’den beri aktif olduğunu, özellikle Fortinet cihazlarını öne çıkardığını ve altyapılarında Vietnamca ve Almanca dillerini kullandığını gösteren kanıtlar var.
Güvenlik araştırmacısı Sai Molige, “Gözlenen etkinliğin, araçları indirme ve yüklemeye yönelik tüm başarısız girişimler ve girişimler arasında geçen nispeten uzun süre ile kanıtlanan manuel bir bileşene sahip olduğu açıkça görülüyor.” dedi.
“Bu, bu etkinliğin, otomatik siber suçlu botnet’lerinde yer alan bir istismardan ziyade, belirli bir kampanyanın parçası olduğunun kanıtıdır. Gözlemlerimize göre, bu kampanyanın arkasındaki aktörlerin toplu tarama yapmadığı, VPN araçlarına sahip hedef ortamları seçtiği görülüyor.”
Forescout, saldırının, Palo Alto Networks Unit 42 ve Blumira tarafından Mart 2024’te belgelenen ve ScreenConnect ve Atera’yı indirmek için CVE-2023-48788’in kötüye kullanılmasını içeren diğer olaylarla taktik ve altyapı örtüşmelerini paylaştığını söyledi.
Kuruluşların potansiyel tehditleri gidermek, şüpheli trafiği izlemek ve potansiyel kötü amaçlı istekleri engellemek için bir web uygulaması güvenlik duvarı (WAF) kullanmak için Fortinet tarafından sağlanan yamaları uygulamaları önerilir.