Black Basta、Bl00dy 勒索软件利用最近的 ScreenConnect 缺陷

更多威胁参与者已开始利用 ConnectWise ScreenConnect 远程桌面访问软件中最近解决的两个漏洞。

这些问题被跟踪为 CVE-2024-1709（CVSS 分数为 10）和 CVE-2024-1708（CVSS 分数为 8.4），被描述为身份验证绕过缺陷和路径遍历错误。

ConnectWise 于 2 月 19 日披露了这些安全缺陷，并发布了补丁。两天后，该公司更新了其公告，对持续的利用行为发出警告。

该公司在其公告中指出：“从本质上讲，不良行为者可以模仿系统管理员的角色，删除所有其他用户并接管该实例。”

针对这些缺陷的概念验证 (PoC) 漏洞（统称为SlashAndGrab）于上周公开，威胁行为者很快开始利用它们来传播恶意软件。

现在，趋势科技表示，更多的网络犯罪组织已经开始利用这些漏洞，包括 Black Basta 和 Bl00dy 勒索软件组织。

在初次访问易受攻击的服务器后，Black Basta 被发现执行侦察、发现和特权提升活动，并部署 Cobalt Strike 有效负载。

除了搜索“域管理员”组的成员之外，攻击者还向管理员组添加新帐户并部署脚本来识别最近连接到 Active Directory 环境的计算机。

其他威胁参与者也将 Cobalt Strike 有效负载部署到受感染的服务器，并试图禁用 Windows Defender 的实时监控功能。

Bl00dy 勒索软件组织利用 ConnectWise ScreenConnect 漏洞进行攻击，部署来自 Conti 和 LockBit 的泄露构建器。然而，在这两个案例中部署的赎金票据都将攻击者识别为 Bl00dy 组织。

在其他攻击中，趋势科技观察到威胁行为者利用 ScreenConnect 缺陷部署 XWorm 恶意软件，该恶意软件提供对受感染系统的远程访问，可以跨网络传播、窃取数据并获取额外的有效负载。

趋势科技还观察到威胁行为者部署其他远程访问软件的攻击，包括 Atera 和 Syncro 以及 ConnectWise 的另一个实例。

建议 ConnectWise 客户尽快更新到 ScreenConnect 版本 23.9.8。

“在对利用 ConnectWise ScreenConnect 漏洞的各种威胁行为者进行详细检查后，我们强调更新到该软件最新版本的紧迫性。立即修补不仅是可取的，而且也是可取的。保护您的系统免受这些已识别的威胁是一项关键的安全要求。”趋势科技指出。

---

原文始发于微信公众号（祺印说信安）：Black Basta、Bl00dy 勒索软件利用最近的 ScreenConnect 缺陷