Американские власти сообщили, что несколько злоумышленников (включая правительственных хакеров) получили доступ к сети неназванного федерального ведомства в США, воспользовавшись уязвимостью четырехлетней давности, которая оставалась неисправленной.

Специалисты Агентства по инфраструктуре и кибербезопасности США (CISA) пишут, что одна группировка воспользовалась уязвимостью еще в августе 2021 года, а вторая хак-группа эксплуатировала баг в августе 2022 года. В итоге с ноября прошлого года и до начала января 2023 года сервер демонстрировал признаки компрометации.

Баг, который использовали злоумышленники, это уязвимость CVE-2019-18935 в UI-компоненте Telerik ASP.NET AJAX, связанная с десериализацией, что позволяет удаленно выполнять код на уязвимых серверах. Как оказалось, уязвимым перед этой проблемой был веб-сервер Microsoft Internet Information Services (IIS) неназванного федерального агентства.

Эта проблема была исправлена разработчиками еще в 2019 году, когда Progress выпустила версию 2020.1.114. Ошибка набрала 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS, и в 2020 году специалисты АНБ предупреждали, что проблему активно эксплуатируют китайские правительственные хакеры.

Чтобы воспользоваться CVE-2019-18935, хакеры должны были получить ключи шифрования, используемые компонентом Telerik RadAsyncUpload. Эксперты пишут, что для этого злоумышленники, вероятно, применили одну из двух уязвимостей, обнаруженных в 2017 году, которые тоже оставались неисправленными на государственном сервере.

В итоге обе группировки использовали CVE-2019-18935 для загрузки и выполнения вредоносных файлов DLL, маскирующихся под изображения PNG, через процесс w3wp.exe. Эти DLL предназначались для сбора системной информации, загрузки дополнительных библиотек, перечисления файлов, процессов, обхода средств защиты, создания реверс-шеллов, а также передачи данных на удаленные серверы. Проверка логов показала, что некоторые из загруженных DLL присутствовали в системе еще в августе 2021 года.

Тогда как правительственная хак-группа фигурирует в отчете экспертов лишь под идентификатором TA1, вторая группировка (TA2), судя по всему, также известна под названием XE Group. Деятельность этих злоумышленников в 2021 году подробно описывали эксперты из ИБ-компании Volexity. По их данным, группировка базируется во Вьетнаме и «сделала себе имя» именно на компрометации продукции Progress Telerik.

По информации компании Malwarebytes, это финансово мотивированная группировка, которая в основном занимается веб-скиммингом банковских карт.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии