Хак-группы Black Basta и Bl00dy присоединились к массовым атакам, направленным на серверы ScreenConnect, уязвимые перед свежими багами под общим названием SlashAndGrab.
Уязвимости в ConnectWise ScreenConnect были обнаружены на прошлой неделе, и уже тогда разработчики предупреждали, что недостатки, которые отслеживаются как CVE-2024-1709 (обход аутентификации) и CVE-2024-1708 (path traversal), уже пытаются эксплуатировать хакеры, а в сети доступны PoC-эксплоиты.
Проблема CVE-2024-1709 является критической, позволяя злоумышленникам создавать учетные записи администраторов, удалять всех остальных пользователей и захватывать любой уязвимый сервер. Это побудило ConnectWise временно отметить все лицензионные ограничения, чтобы даже клиенты с истекшими лицензиями могли установить патчи и защитить свои серверы от атак.
Как сообщалось ранее, уязвимости уже взяли на вооружение вымогатели. Например, был замечен образец малвари, построенный на базе утекших в 2022 году исходных кодов LockBit. Судя по всему, он не связан с одноименной хак-группой: некоторые полезные нагрузки были идентифицированы как buhtiRansom, а в вымогательской записке не был никаких указаний на саму LockBit.
Как сообщают аналитики Shadowserver, в настоящее время CVE-2024-1709 активно применяется в атаках, а Shodan обнаруживает более 10 000 серверов ScreenConnect, тогда как лишь около 1500 из них работают под управлением исправленной версии ScreenConnect 23.9.8.
Как теперь предупредили исследователи компании Trend Micro, группировки Black Basta и Bl00dy также начали использовать баги в ScreenConnect для получения первоначального доступа к сетям жертв и внедрения бэкдоров.
После проникновения в сеть компаний, злоумышленники занимаются разведкой, обнаружением и повышением привилегий, а на взломанных системах были найдены маяки Cobalt Strike, связанные с Black Basta. Что касается вымогателей Bl00dy, группировка использовала в атаках полезную нагрузку, созданную с помощью утекших ранее билдеров Conti и LockBit Black.
Также в Trend Micro заметили, что злоумышленники разворачивают в атакованных системах многофункциональную малварь XWorm, обладающую функциями трояна удаленного доступа (RAT) и вымогателя. Другие взломщики использовали доступ к взломанным серверам ScreenConnect для развертывания различных инструментов удаленного доступа, включая Atera и Syncro.
«После детального изучения различных угроз, эксплуатирующих уязвимости в ConnectWise ScreenConnect, мы подчеркиваем, что необходимо срочно обновить программное обеспечение до последней версии, — пишут в Trend Micro. — Немедленное обновление не просто рекомендуется, а является критически важным требованием для обеспечения защиты ваших систем».