Исследователи кибербезопасности обнаружили новую кампанию, использующую недавно обнаруженную уязвимость в устройствах Fortinet FortiClient EMS для доставки полезных нагрузок ScreenConnect и Metasploit Powerfun.
Данная активность влечет за собой использование CVE-2023-48788 (оценка CVSS: 9.3), критической ошибки SQL-внедрения, которая может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять несанкционированный код или команды с помощью специально созданных запросов.
Компания по кибербезопасности Forescout отслеживает кампанию под кодовым названием Connect: fun благодаря использованию ScreenConnect и Powerfun для последующей эксплуатации.
Целью вторжения была неназванная медиакомпания, чье уязвимое устройство FortiClient EMS было подключено к Интернету вскоре после выпуска эксплойта proof-of-concept (PoC) для устранения этой уязвимости 21 марта 2024 года.
В течение следующих нескольких дней было замечено, что неизвестный злоумышленник использовал уязвимость для безуспешной загрузки ScreenConnect, а затем установил программное обеспечение для удаленного рабочего стола с помощью утилиты msiexec.
Однако 25 марта эксплойт PoC был использован для запуска кода PowerShell, который загрузил скрипт Powerfun Metasploit и инициировал обратное подключение к другому IP-адресу.
Также обнаружены инструкции SQL, предназначенные для загрузки ScreenConnect из удаленного домена ("ursketz[.]com") с использованием certutil, который затем был установлен через msiexec перед установлением соединений с сервером командования и управления (C2).
Есть основания полагать, что стоящий за этим субъект угрозы активен как минимум с 2022 года, особенно выделяя устройства Fortinet и используя вьетнамский и немецкий языки в своей инфраструктуре.
"Наблюдаемая активность явно имеет ручную составляющую, о чем свидетельствуют все неудачные попытки загрузить и установить инструменты, а также относительно длительное время, прошедшее между попытками", - сказал исследователь безопасности Сай Молидж.
"Это свидетельствует о том, что данное действие является частью конкретной кампании, а не эксплойтом, включенным в автоматизированные ботнеты киберпреступников. По нашим наблюдениям, похоже, что участники этой кампании проводят не массовое сканирование, а выбирают целевые среды, в которых есть устройства VPN. "
Forescout заявил, что атака разделяет тактические и инфраструктурные совпадения с другими инцидентами, задокументированными подразделением Palo Alto Networks 42 и Blumira в марте 2024 года, которые связаны со злоупотреблением CVE-2023-48788 для загрузки ScreenConnect и Atera.
Организациям рекомендуется применять исправления, предоставляемые Fortinet, для устранения потенциальных угроз, отслеживать подозрительный трафик и использовать брандмауэр веб-приложений (WAF) для блокирования потенциально вредоносных запросов.
