Black Basta、Bl00dy 勒索软件组织加入 ScreenConnect 攻击 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

Black Basta、Bl00dy 勒索软件组织加入 ScreenConnect 攻击

胡金鱼 新闻 2024-04-01 16:08:54
46153
收藏

导语:Black Basta 和 Bl00dy 勒索软件团伙也开始利用 ScreenConnect 缺陷进行初始访问。

Black Basta 和 Bl00dy 勒索软件团伙加入了针对 ScreenConnect 服务器的攻击中。

此严重缺陷 (CVE-2024-1709) 允许攻击者在暴露于 Internet 的服务器上创建管理员帐户、删除所有其他用户并接管任何易受攻击的实例。

自三月以来,CVE-2024-1709 一直受到积极利用。近期,ConnectWise 还修复了一个高严重性路径遍历漏洞 (CVE-2024-1708),该漏洞只能被具有高权限的威胁分子滥用。

因为这两个安全漏洞影响所有 ScreenConnect 版本,该公司已取消了所有许可证限制,因此拥有许可证的客户可以保护其服务器免受持续攻击。

CISA 还将CVE-2024-1709 添加到其已知被利用的漏洞目录中,命令美国联邦机构确保其服务器的安全。

Shadowserver 表示,CVE-2024-1709 现在在攻击中被广泛利用,有数十个针对在线暴露服务器的 IP,而 Shodan 目前跟踪超过 10000 个 ScreenConnect 服务器(只有 1,559 个运行ScreenConnect 23.9.8 修补版本)。在分析这些正在进行的攻击时, Black Basta 和 Bl00dy 勒索软件团伙也开始利用 ScreenConnect 缺陷进行初始访问,并使用 Web shell 为受害者的网络设置后门。

ScreenConnect_attack_flow.webp.jpg

ScreenConnect 攻击流程

在调查他们的攻击时,安全研究团队观察到攻击者获得网络访问权限,部署在受感染系统上的与 Black Basta 连接的 Cobalt Strike 信标后的侦察、发现和权限升级活动。

Bl00dy 勒索软件团伙使用的有效负载是利用泄露的 Conti 和 LockBit Black 构建器构建的。然而,他们留下的赎金票据表明,攻击者是 Bl00dy 网络犯罪行动的一部分。

此外,攻击者部署了具有远程访问木马 (RAT) 和勒索软件功能的多用途XWorm 恶意软件。

其他威胁分子利用新获得的对受感染 ScreenConnect 服务器的访问权限来部署各种远程管理工具,例如 Atera 和 Syncro 或第二个 ConnectWise 实例。

Sophos在报告中首次透露,最新修补的 ScreenConnect 缺陷被利用在勒索软件攻击中。他们发现了使用 2022 年 9 月下旬在线泄露的LockBit 勒索软件构建器构建的多个勒索软件有效负载,包括在 30 个不同网络上发现的 buhtiRansom 有效负载以及使用泄露的 Lockbit 构建器创建的第二个 LockBit 变体。

网络安全公司也证实了他们的发现,“当地政府,包括可能与其 911 系统相关的系统”和“医疗诊所”也受到了利用 CVE-2024-1709 身份验证绕过的勒索软件的攻击。

安全研究团队为此建议用户更新到该软件最新版本。

文章翻译自:https://www.bleepingcomputer.com/news/security/black-basta-bl00dy-ransomware-gangs-join-screenconnect-attacks/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务