Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch mới khai thác một lỗ hổng bảo mật được tiết lộ gần đây trong các thiết bị Fortinet FortiClient EMS để cung cấp tải trọng ScreenConnect và Metasploit Powerfun.
Hoạt động này đòi hỏi phải khai thác CVE-2023-48788 (điểm CVSS: 9.3), một lỗ hổng SQL injection nghiêm trọng có thể cho phép kẻ tấn công chưa được xác thực thực thi mã hoặc lệnh trái phép thông qua các yêu cầu được tạo cụ thể.
Công ty an ninh mạng Forescout đang theo dõi chiến dịch dưới tên mã Connect: fun do sử dụng ScreenConnect và Powerfun để khai thác sau.
Vụ xâm nhập, nhắm vào một công ty truyền thông giấu tên có thiết bị FortiClient EMS dễ bị tấn công trên internet, diễn ra ngay sau khi phát hành khai thác bằng chứng khái niệm (PoC) cho lỗ hổng vào ngày 21 tháng 3 năm 2024.
Trong vài ngày tiếp theo, kẻ thù chưa biết đã được quan sát thấy tận dụng lỗ hổng để tải xuống ScreenConnect không thành công và sau đó cài đặt phần mềm máy tính từ xa bằng tiện ích msiexec.
Tuy nhiên, vào ngày 25 tháng 3, khai thác PoC đã được sử dụng để khởi chạy mã PowerShell đã tải xuống tập lệnh Powerfun của Metasploit và bắt đầu kết nối ngược với một địa chỉ IP khác.
Cũng được phát hiện là các câu lệnh SQL được thiết kế để tải xuống ScreenConnect từ một miền từ xa ("ursketz[.] com") sử dụng certutil, sau đó được cài đặt qua msiexec trước khi thiết lập kết nối với máy chủ lệnh và kiểm soát (C2).
Có bằng chứng cho thấy tác nhân đe dọa đằng sau nó đã hoạt động ít nhất từ năm 2022, đặc biệt là các thiết bị Fortinet và sử dụng tiếng Việt và tiếng Đức trong cơ sở hạ tầng của họ.
"Hoạt động quan sát được rõ ràng có một thành phần thủ công được chứng minh bằng tất cả các nỗ lực tải xuống và cài đặt công cụ thất bại, cũng như thời gian tương đối dài được thực hiện giữa các lần thử", nhà nghiên cứu bảo mật Sai Molige nói.
"Đây là bằng chứng cho thấy hoạt động này là một phần của một chiến dịch cụ thể, chứ không phải là một khai thác có trong các botnet tội phạm mạng tự động. Từ những quan sát của chúng tôi, có vẻ như các tác nhân đằng sau chiến dịch này không phải là quét hàng loạt mà chọn môi trường mục tiêu có thiết bị VPN.
Forescout cho biết cuộc tấn công chia sẻ sự chồng chéo về chiến thuật và cơ sở hạ tầng với các sự cố khác được ghi nhận bởi Palo Alto Networks Unit 42 và Blumira vào tháng 3/2024 liên quan đến việc lạm dụng CVE-2023-48788 để tải xuống ScreenConnect và Atera.
Các tổ chức được khuyến nghị áp dụng các bản vá do Fortinet cung cấp để giải quyết các mối đe dọa tiềm ẩn, giám sát lưu lượng truy cập đáng ngờ và sử dụng tường lửa ứng dụng web (WAF) để chặn các yêu cầu độc hại tiềm ẩn.