Ngày 11 tháng 2 năm 2023Ravie Lakshmanan Ứng phó với mối đe dọa / Lỗ hổng bảo mật
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) hôm thứ Sáu đã thêm ba lỗ hổng vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) của mình, trích dẫn bằng chứng về sự lạm dụng tích cực trong tự nhiên.
Một trong số ba lỗi là CVE-2022-24990, một lỗi ảnh hưởng đến các thiết bị lưu trữ gắn mạng TerraMaster (TNAS) có thể dẫn đến thực thi mã từ xa không được xác thực với các đặc quyền cao nhất.
Thông tin chi tiết về lỗ hổng đã được tiết lộ bởi công ty nghiên cứu an ninh mạng Octagon Networks của Ethiopia vào tháng 3 năm 2022.
Lỗ hổng bảo mật, theo một cố vấn chung do các cơ quan chính phủ Hoa Kỳ và Hàn Quốc công bố, được cho là đã được các tin tặc quốc gia Bắc Triều Tiên vũ khí hóa để tấn công các tổ chức cơ sở hạ tầng quan trọng và chăm sóc sức khỏe bằng ransomware.
Thiếu sót thứ hai được thêm vào danh mục KEV là CVE-2015-2291, một lỗ hổng không xác định trong trình điều khiển chẩn đoán ethernet Intel dành cho Windows (IQVW32.sys và IQVW64.sys) có thể khiến thiết bị bị ảnh hưởng rơi vào trạng thái từ chối dịch vụ .
Việc khai thác CVE-2015-2291 trong thực tế đã được CrowdStrike tiết lộ vào tháng trước, mô tả chi tiết một cuộc tấn công Scattered Spider (còn gọi là Roasted 0ktapus hoặc UNC3944) dẫn đến nỗ lực tạo ra một phiên bản trình điều khiển dễ bị tổn thương được ký hợp pháp nhưng độc hại bằng cách sử dụng một chiến thuật có tên Mang theo trình điều khiển dễ bị tổn thương của riêng bạn (BYOVD).
Mục tiêu, công ty an ninh mạng cho biết, là vượt qua phần mềm bảo mật điểm cuối được cài đặt trên máy chủ bị xâm nhập. Cuộc tấn công cuối cùng đã không thành công.
sự phát triển nhấn mạnh việc nhiều tác nhân đe dọa, cụ thể là BlackByte, Earth Longzhi, Lazarus Group và OldGremlin, áp dụng kỹ thuật này ngày càng nhiều, để tăng sức mạnh cho các cuộc xâm nhập của chúng với các đặc quyền cao hơn.
Cuối cùng, CISA cũng đã bổ sung thêm một mã tiêm từ xa được phát hiện trong ứng dụng truyền tệp được quản lý GoAnywhere MFT của Fortra (CVE-2023-0669) vào danh mục KEV. Mặc dù các bản vá cho lỗ hổng đã được phát hành gần đây, nhưng việc khai thác đã được liên kết với một nhóm tội phạm mạng có liên quan đến hoạt động của ransomware.
Huntress, trong một phân tích được công bố vào đầu tuần này, cho biết họ đã quan sát thấy chuỗi lây nhiễm dẫn đến việc triển khai TrueBot, một phần mềm độc hại Windows được quy cho một tác nhân đe dọa có tên là Im lặng và chia sẻ kết nối với Evil Corp, một nhóm tội phạm mạng Nga thể hiện sự chồng chéo chiến thuật với TA505.
Với việc TA505 tạo điều kiện thuận lợi cho việc triển khai mã độc tống tiền Clop trong quá khứ, người ta nghi ngờ rằng các cuộc tấn công là tiền đề để triển khai phần mềm độc hại khóa tệp trên các hệ thống được nhắm mục tiêu.
Hơn nữa, blog bảo mật Bleeping Computer đã báo cáo rằng nhóm ransomware Clop đã liên hệ với ấn phẩm và tuyên bố đã khai thác lỗ hổng để đánh cắp dữ liệu được lưu trữ trong các máy chủ bị xâm nhập từ hơn 130 công ty.
Các cơ quan của Chi nhánh Hành pháp Dân sự Liên bang (FCEB) phải áp dụng các bản sửa lỗi trước ngày 3 tháng 3 năm 2023 để bảo mật mạng trước các mối đe dọa đang hoạt động.
