آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) روز جمعه با استناد به شواهدی مبنی بر سوء استفاده فعال در طبیعت، سه نقص را به فهرست آسیبپذیریهای شناخته شده (KEV) اضافه کرد.
یکی از این سه مورد شامل CVE-2022-24990 است، اشکالی که بر دستگاههای ذخیرهسازی متصل به شبکه TerraMaster (TNAS) تأثیر میگذارد که میتواند منجر به اجرای کد از راه دور تأیید نشده با بالاترین امتیازات شود.
جزئیات مربوط به این نقص توسط شرکت تحقیقاتی امنیت سایبری اتیوپیایی Octagon Networks در مارس 2022 فاش شد.
این آسیبپذیری، طبق مشاوره مشترک منتشر شده توسط مقامات دولتی ایالات متحده و کره جنوبی، گفته میشود که توسط هکرهای دولت-ملت کره شمالی برای حمله به مراکز درمانی و زیرساختهای حیاتی با باجافزار استفاده شده است.
دومین نقصی که به کاتالوگ KEV اضافه میشود CVE-2015-2291 است، یک نقص نامشخص در درایور تشخیص اترنت اینتل برای ویندوز (IQVW32.sys و IQVW64.sys) که میتواند دستگاه آسیبدیده را در حالت انکار سرویس قرار دهد. .
بهره برداری از CVE-2015-2291 در طبیعت توسط CrowdStrike در ماه گذشته فاش شد، و جزئیات یک حمله Scattered Spider (معروف به Roasted 0ktapus یا UNC3944) را نشان داد که مستلزم تلاش برای کاشت یک نسخه قانونی امضا شده اما مخرب از راننده آسیب پذیر با استفاده از تاکتیکی به نام بود. راننده آسیب پذیر خود (BYOVD) را بیاورید.
به گفته این شرکت امنیت سایبری، هدف دور زدن نرمافزار امنیتی نقطه پایانی نصب شده بر روی میزبان در معرض خطر است. حمله در نهایت ناموفق بود.
این توسعه بر پذیرش فزاینده این تکنیک توسط چندین بازیگر تهدید کننده، یعنی BlackByte، Earth Longzhi، Lazarus Group و OldGremlin تاکید می کند تا نفوذهای خود را با امتیازات بالا تقویت کنند.
در نهایت، CISA همچنین یک تزریق کد از راه دور کشف شده در برنامه انتقال فایل مدیریت شده GoAnywhere MFT Fortra (CVE-2023-0669) را به کاتالوگ KEV اضافه کرده است. در حالی که اخیراً وصلههایی برای این نقص منتشر شده است، این بهرهبرداری به یک گروه جرایم سایبری وابسته به یک عملیات باجافزار مرتبط است.
Huntress، در تحلیلی که اوایل این هفته منتشر شد، گفت که زنجیره عفونت را مشاهده کرده است که منجر به استقرار TrueBot، یک بدافزار ویندوز منتسب به یک عامل تهدید به نام Silence است که با Evil Corp، یک خدمه جرایم سایبری روسی که همپوشانیهای تاکتیکی را نشان میدهد، ارتباط مشترک دارد. با TA505.
از آنجایی که TA505 در گذشته استقرار باجافزار Clop را تسهیل میکرد، گمان میرود که این حملات پیشروی استقرار بدافزار قفلکننده فایل بر روی سیستمهای هدفمند باشد.
علاوه بر این، وبلاگ امنیتی Bleeping Computer گزارش داد که خدمه باجافزار Clop با نشریه تماس گرفتند و ادعا کردند که از این نقص برای سرقت دادههای ذخیره شده در سرورهای در معرض خطر از بیش از 130 شرکت سوء استفاده کردهاند.
آژانسهای شعبه اجرایی غیرنظامی فدرال (FCEB) موظفند تا 3 مارس 2023 اصلاحات را اعمال کنند تا شبکهها را در برابر تهدیدات فعال ایمن کنند.
ارسال نظر