勒索组织加入,ScreenConnect的攻击前沿持续扩大

阅读量8355

发布时间 : 2024-02-29 11:15:06




网络犯罪组织 Black Basta 和 Bl00dy 加入了 对易受攻击的ScreenConnect服务器的大规模攻击。所有没有时间更新系统的用户都会成为目标。

不过,针对关键身份验证绕过漏洞 (CVE-2024-1709) 的修复程序已经可用。该漏洞允许攻击者在开放服务器上创建管理员帐户、删除所有其他用户并获得对任何系统的完全控制。

ConnectWise 发布更新以及多家公司发布 POC 漏洞的一天后,黑客就开始利用 CVE-2024-1709。

上周,ConnectWise 还修复了一个只能由高权限攻击者利用的关键目录遍历漏洞 (CVE-2024-1708)。

该公司已取消所有许可限制,以便许可证过期的客户可以保护自己免受持续的攻击,因为这两个问题影响 ScreenConnect 的所有版本。

周四,CISA 还将 CVE-2024-1709添加 到其已知可利用漏洞目录中,命令美国联邦机构在 2 月 29 日之前采取行动确保网络安全。

据Shadowserver称,该漏洞已在实践中得到积极利用—— 数十个IP地址 针对ScreenConnect开放在线服务器。Shodan服务 监控超过 10,000 台此类服务器,其中只有 1,559 台运行修补版本 23.9.8。

通过分析这些事件,趋势科技发现 Black Basta 和 Bl00dy 组织也 开始利用 ScreenConnect 的缺陷进行初始访问和安装后门。

分析人士称,攻击者在进入受害者网络后,会进行侦察并增加其在系统中的权限。Black Basta 组织使用 Cobalt Strike 工具在受感染的系统中站稳脚跟。Bl00dy 使用了由 泄露的构建器 Conti 和 LockBit 创建的恶意软件。

此外,攻击者还安装了多功能XWorm恶意软件,该恶意软件具有RAT和勒索软件功能。

一些攻击者利用对 ScreenConnect 服务器的访问来安装远程管理工具,例如 Atera、Syncro 或其他 ConnectWise 实例。

Sophos 发现了使用泄露的 LockBit 构建器创建的多个勒索软件有效负载,包括在 30 个不同网络上发现的 buhtiRansom 。

Huntress 还确认 CVE-2024-1709 已经涉及多起事件。特别是,它被用来攻击地方当局,包括与 911 服务和大型医疗诊所相关的系统。

正如趋势科技在详细分析利用 ConnectWise ScreenConnect 漏洞的网络攻击后表示,紧急更新到最新版本的软件不再只是建议,而是关键措施。


分享到:微信
+16赞
收藏
ISC6196381205
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66