导语:Black Basta 和 Bl00dy 勒索软件团伙也开始利用 ScreenConnect 缺陷进行初始访问。
Black Basta 和 Bl00dy 勒索软件团伙加入了针对 ScreenConnect 服务器的攻击中。
此严重缺陷 (CVE-2024-1709) 允许攻击者在暴露于 Internet 的服务器上创建管理员帐户、删除所有其他用户并接管任何易受攻击的实例。
自三月以来,CVE-2024-1709 一直受到积极利用。近期,ConnectWise 还修复了一个高严重性路径遍历漏洞 (CVE-2024-1708),该漏洞只能被具有高权限的威胁分子滥用。
因为这两个安全漏洞影响所有 ScreenConnect 版本,该公司已取消了所有许可证限制,因此拥有许可证的客户可以保护其服务器免受持续攻击。
CISA 还将CVE-2024-1709 添加到其已知被利用的漏洞目录中,命令美国联邦机构确保其服务器的安全。
Shadowserver 表示,CVE-2024-1709 现在在攻击中被广泛利用,有数十个针对在线暴露服务器的 IP,而 Shodan 目前跟踪超过 10000 个 ScreenConnect 服务器(只有 1,559 个运行ScreenConnect 23.9.8 修补版本)。在分析这些正在进行的攻击时, Black Basta 和 Bl00dy 勒索软件团伙也开始利用 ScreenConnect 缺陷进行初始访问,并使用 Web shell 为受害者的网络设置后门。
ScreenConnect 攻击流程
在调查他们的攻击时,安全研究团队观察到攻击者获得网络访问权限,部署在受感染系统上的与 Black Basta 连接的 Cobalt Strike 信标后的侦察、发现和权限升级活动。
Bl00dy 勒索软件团伙使用的有效负载是利用泄露的 Conti 和 LockBit Black 构建器构建的。然而,他们留下的赎金票据表明,攻击者是 Bl00dy 网络犯罪行动的一部分。
此外,攻击者部署了具有远程访问木马 (RAT) 和勒索软件功能的多用途XWorm 恶意软件。
其他威胁分子利用新获得的对受感染 ScreenConnect 服务器的访问权限来部署各种远程管理工具,例如 Atera 和 Syncro 或第二个 ConnectWise 实例。
Sophos在报告中首次透露,最新修补的 ScreenConnect 缺陷被利用在勒索软件攻击中。他们发现了使用 2022 年 9 月下旬在线泄露的LockBit 勒索软件构建器构建的多个勒索软件有效负载,包括在 30 个不同网络上发现的 buhtiRansom 有效负载以及使用泄露的 Lockbit 构建器创建的第二个 LockBit 变体。
网络安全公司也证实了他们的发现,“当地政府,包括可能与其 911 系统相关的系统”和“医疗诊所”也受到了利用 CVE-2024-1709 身份验证绕过的勒索软件的攻击。
安全研究团队为此建议用户更新到该软件最新版本。
文章翻译自:https://www.bleepingcomputer.com/news/security/black-basta-bl00dy-ransomware-gangs-join-screenconnect-attacks/如若转载,请注明原文地址
