Black Basta、Bl00dy 勒索软件利用最近的 ScreenConnect 缺陷

admin 2024年3月1日00:58:08评论9 views字数 1033阅读3分26秒阅读模式

Black Basta、Bl00dy 勒索软件利用最近的 ScreenConnect 缺陷

更多威胁参与者已开始利用 ConnectWise ScreenConnect 远程桌面访问软件中最近解决的两个漏洞。

这些问题被跟踪为 CVE-2024-1709(CVSS 分数为 10)和 CVE-2024-1708(CVSS 分数为 8.4),被描述为身份验证绕过缺陷和路径遍历错误。

ConnectWise 于 2 月 19 日披露了这些安全缺陷,并发布了补丁两天后,该公司更新了其公告,对持续的利用行为发出警告

该公司在其公告中指出:“从本质上讲,不良行为者可以模仿系统管理员的角色,删除所有其他用户并接管该实例。”

针对这些缺陷的概念验证 (PoC) 漏洞(统称为SlashAndGrab)于上周公开,威胁行为者很快开始利用它们来传播恶意软件

现在,趋势科技表示,更多的网络犯罪组织已经开始利用这些漏洞,包括 Black Basta 和 Bl00dy 勒索软件组织。

在初次访问易受攻击的服务器后,Black Basta 被发现执行侦察、发现和特权提升活动,并部署 Cobalt Strike 有效负载。

除了搜索“域管理员”组的成员之外,攻击者还向管理员组添加新帐户并部署脚本来识别最近连接到 Active Directory 环境的计算机。

其他威胁参与者也将 Cobalt Strike 有效负载部署到受感染的服务器,并试图禁用 Windows Defender 的实时监控功能。

Bl00dy 勒索软件组织利用 ConnectWise ScreenConnect 漏洞进行攻击,部署来自 Conti 和 LockBit 的泄露构建器。然而,在这两个案例中部署的赎金票据都将攻击者识别为 Bl00dy 组织。

在其他攻击中,趋势科技观察到威胁行为者利用 ScreenConnect 缺陷部署 XWorm 恶意软件,该恶意软件提供对受感染系统的远程访问,可以跨网络传播、窃取数据并获取额外的有效负载。

趋势科技还观察到威胁行为者部署其他远程访问软件的攻击,包括 Atera 和 Syncro 以及 ConnectWise 的另一个实例。

建议 ConnectWise 客户尽快更新到 ScreenConnect 版本 23.9.8。

“在对利用 ConnectWise ScreenConnect 漏洞的各种威胁行为者进行详细检查后,我们强调更新到该软件最新版本的紧迫性。立即修补不仅是可取的,而且也是可取的。保护您的系统免受这些已识别的威胁是一项关键的安全要求。”趋势科技指出。


原文始发于微信公众号(祺印说信安):Black Basta、Bl00dy 勒索软件利用最近的 ScreenConnect 缺陷

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月1日00:58:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Black Basta、Bl00dy 勒索软件利用最近的 ScreenConnect 缺陷https://cn-sec.com/archives/2538335.html

发表评论

匿名网友 填写信息