Kötü şöhretli Black Basta operasyonu da dahil olmak üzere daha fazla fidye yazılımı çetesinin, ConnectWise ScreenConnect yazılım platformunda 19 Şubat 2024 Pazartesi günü açıklanan bir çift önemli güvenlik açığından yararlandığı gözlemlendi.
CVE-2024-1708 ve CVE-2024-1709, sırasıyla 8,4 ve 10 CVSS puanı taşıyan yol geçişi ve kimlik doğrulama atlama güvenlik açıklarıdır. ConnectWise yamaları kullanıma sunmuştur ve bu yamaların ayrıntılarına, güvenlik ihlali göstergelerine (IoC’ler) ve savunmasız sürümlere buradan ulaşabilirsiniz. İstismar edilmesi önemsiz ve son derece tehlikeli olarak tanımlanıyorlar.
23 Şubat Cuma gününe gelindiğinde, LockBit’in sızdırılmış bir yapısını kullanan bir tehdit aktörünün (çetenin son zamanlardaki sorunları göz önüne alındığında muhtemelen LockBit değil) fidye yazılımı saldırılarında ConnectWise ScreenConnect açıklarından yararlanmaya başladığı ortaya çıktı.
Bugün erken saatlerde (27 Şubat Salı), Trend Micro araştırmacıları Ian Kenefick, Junestherry Dela Cruz ve Peter Girnus, Black Basta ve Bl00dy fidye yazılımı çetelerinin ConnectWise ScreenConnect açıklarını şimdiye kadar yama yapamayan kuruluşları hedef almak için kullandıklarını keşfettiklerini ortaya koyan yeni bir istihbarat yayınladılar.
Ekip, açıklama bildiriminde şöyle yazdı: “Telemetrimiz, çeşitli tehdit aktörü gruplarının, fidye yazılımı dağıtımından bilgi çalma ve veri sızdırma saldırılarına kadar çeşitli taktiklerle ConnectWise ScreenConnect’teki güvenlik açıklarından yararlandığını tespit etti.”
“Farklı izinsiz giriş gruplarından kaynaklanan bu faaliyetler, sistemleri bu güvenlik açıklarına karşı korumanın aciliyetini vurguluyor…. Bu ayrıca ScreenConnect kullanıcılarının etkili savunma stratejilerine ve hızlı yama uygulamasına acil ihtiyaç duyduğunun altını çiziyor.”
Yakın zamanda Birleşik Krallık’taki Southern Water kamu hizmetleri sistemlerine saldıran Black Basta’nın, saldırılarının son aşamalarını gerçekleştirmeden önce keşif, varlık keşfi ve ayrıcalık yükseltme faaliyetlerini gerçekleştirmek için bazı ortamlarda Kobalt Saldırı işaretlerini yerleştirdiği gözlemlendi.
Trend Micro’nun tanımlamadığı başka bir grup, PowerShell kullanarak Windows Defender’daki gerçek zamanlı izleme özelliklerini devre dışı bırakmaya çalışırken gözlemlendikten sonra takip edildi ve ardından Cobalt Strike’ı da kullandı.
Geçtiğimiz yıl bir baskı yönetimi yazılımı platformunda sıfır gün yoluyla birden fazla hedefi vuran Bl00dy’nin varlığı, grubun hem Conti hem de LockBit Black (LockBit 3.0) dolaplarının sızdırılmış yapılarını dağıttığını gözlemledikten sonra Trend Micro tarafından doğrulandı.
Tehdit aktörlerinin, uzaktan erişim, kendi kendine yayılma yetenekleri, veri sızdırma özellikleri sunan ve aynı zamanda ek yükler indirebilen çok yönlü XWorm kötü amaçlı yazılımını kullanarak ConnectWise ScreenConnect güvenlik açıklarından yararlandıkları da izlendi.
“Yazılımın en son sürümüne güncellemenin aciliyetini vurguluyoruz. Hemen yama yapılması tavsiye edilen bir şey değildir; Trend Micro ekibi, sistemlerinizi belirlenen bu tehditlere karşı korumak kritik bir güvenlik gereksinimidir” diye yazdı.
“Bu güvenlik açıkları istismar edilirse hassas verileri tehlikeye atabilir, iş operasyonlarını aksatabilir ve önemli mali kayıplara neden olabilir. Tehdit aktörlerinin fidye yazılımı dağıtmak için bu zayıflıkları aktif olarak kullanması, acil düzeltici eylemler için bir aciliyet katmanı oluşturuyor.”
Kolayca dövülür
ConnectWise ScreenConnect açıklarını ifşa edildiğinden beri takip eden ve iki kusurun ciddiyetini ilk fark edenler arasında yer alan Huntress Security’deki araştırmacılar, bu açıklardan yararlanan tehdit aktörlerinin sırf bunu yapmadıkları için kolayca durdurulabileceğini söyledi. böyle yeni bir şey yapmadım.
“Bu inanılmaz derecede ilginç ScreenConnect istismarı son birkaç gündür Huntress’teki çoğumuzu kendine hayran bıraktı, ancak düşmanlarımızın bu yeni istismarı başka bir yazılımla eşleştirmeyi taahhüt etmemesi çok yazık. yeni Tradecraft,” Huntress ekibi 23 Şubat’ta yayınlanan bir güncellemede yazdı.
Huntress, şu ana kadar gözlemlenen uzlaşma sonrası faaliyetlerin çoğunun yeni, orijinal veya olağanüstü olmadığını, çünkü çoğu tehdit aktörünün çok ileri derecede bilgili olmadığını ve prosedürel ticari becerilerin ötesinde ne yapacaklarını gerçekten bilmediklerini, bu nedenle denenmiş yöntemlere sadık kaldıklarını söyledi. ve doğru yöntemler. Bu onların yarı düzeyde yetkin bir güvenlik ekibi tarafından kolayca mağlup edilmesini sağlar.