Black Basta、Bl00dy 勒索软件组织加入 ScreenConnect 攻击

Black Basta 和 Bl00dy 勒索软件团伙加入了针对 ScreenConnect 服务器的攻击中。

此严重缺陷 (CVE-2024-1709) 允许攻击者在暴露于 Internet 的服务器上创建管理员帐户、删除所有其他用户并接管任何易受攻击的实例。

自三月以来，CVE-2024-1709 一直受到积极利用。近期，ConnectWise 还修复了一个高严重性路径遍历漏洞 (CVE-2024-1708)，该漏洞只能被具有高权限的威胁分子滥用。

因为这两个安全漏洞影响所有 ScreenConnect 版本，该公司已取消了所有许可证限制，因此拥有许可证的客户可以保护其服务器免受持续攻击。

CISA 还将CVE-2024-1709 添加到其已知被利用的漏洞目录中，命令美国联邦机构确保其服务器的安全。

Shadowserver 表示，CVE-2024-1709 现在在攻击中被广泛利用，有数十个针对在线暴露服务器的 IP，而 Shodan 目前跟踪超过 10000 个 ScreenConnect 服务器（只有 1,559 个运行ScreenConnect 23.9.8 修补版本）。在分析这些正在进行的攻击时， Black Basta 和 Bl00dy 勒索软件团伙也开始利用 ScreenConnect 缺陷进行初始访问，并使用 Web shell 为受害者的网络设置后门。

ScreenConnect 攻击流程

在调查他们的攻击时，安全研究团队观察到攻击者获得网络访问权限，部署在受感染系统上的与 Black Basta 连接的 Cobalt Strike 信标后的侦察、发现和权限升级活动。

Bl00dy 勒索软件团伙使用的有效负载是利用泄露的 Conti 和 LockBit Black 构建器构建的。然而，他们留下的赎金票据表明，攻击者是 Bl00dy 网络犯罪行动的一部分。

此外，攻击者部署了具有远程访问木马 (RAT) 和勒索软件功能的多用途XWorm 恶意软件。

其他威胁分子利用新获得的对受感染 ScreenConnect 服务器的访问权限来部署各种远程管理工具，例如 Atera 和 Syncro 或第二个 ConnectWise 实例。

Sophos在报告中首次透露，最新修补的 ScreenConnect 缺陷被利用在勒索软件攻击中。他们发现了使用 2022 年 9 月下旬在线泄露的LockBit 勒索软件构建器构建的多个勒索软件有效负载，包括在 30 个不同网络上发现的 buhtiRansom 有效负载以及使用泄露的 Lockbit 构建器创建的第二个 LockBit 变体。

网络安全公司也证实了他们的发现，“当地政府，包括可能与其 911 系统相关的系统”和“医疗诊所”也受到了利用 CVE-2024-1709 身份验证绕过的勒索软件的攻击。

安全研究团队为此建议用户应尽快更新到该软件最新版本。

参考及来源：https://www.bleepingcomputer.com/news/security/black-basta-bl00dy-ransomware-gangs-join-screenconnect-attacks/