Hackers Exploit Fortinet Flaw, Deploy ScreenConnect, Metasploit in New Campaign
2024/04/17 TheHackerNews — Fortinet FortiClient EMS デバイスにおいて、最近になって公開された脆弱性を悪用することで、ScreenConnect および Metasploit Powerfun ペイロードを配信する新たなキャンペーンが、サイバー・セキュリティ研究者たちにより発見された。このキャンペーンは、SQLインジェクションの脆弱性 CVE-2023-48788 (CVSS:9.3) を悪用するものであり、特別に細工されたリクエストを介して、認証されていない攻撃者が不正なコードやコマンドを実行する可能性が生じる。
サイバーセキュリティ企業 Forescout は、このキャンペーンを “Connect:fun” というコードネームで追跡している。
CVE-2023-48788 に対する PoC エクスプロイトがリリースされた直後の 2024年3月21日に、この脆弱性の残っている FortiClient EMS デバイスをインターネットに公開していた、無名のメディア企業が標的にされたという。
その後の数日間にわたり、この脆弱性を悪用する未知の敵対者は ScreenConnect のダウンロードに失敗したが、msiexec ユーティリティを用いてリモートデスクトップ・ソフトウェアをインストールしている様子が確認された。
続いて 3月25日には、PoC エクスプロイトを用いて PowerShell コードを起動し、Metasploit の Powerfun スクリプトをダウンロードし、別の IP アドレスへの逆接続を開始するという動きが見られた。
さらに、certutil を用いてリモートドメイン “ursketz[.]com” から、ScreenConnect をダウンロードするように設計された SQL ステートメントも検出された。このステートメントは、Command and Contorol (C2) サーバとの接続を確立する前に、msiexec を介してインストールされていた。
このキャンペーンを背後で操る脅威アクターは、遅くとも 2022年以降に活動しており、Fortinet のアプライアンスを特定するという動きを見せながら、そのインフラではベトナム語とドイツ語を使用していたとする証拠もあるようだ。
セキュリティ研究者である Sai Molige は、「ツールのダウンロードとインストールの失敗が観測され、また、試行と試行の間に比較的長い時間を要していることも判明しているため、攻撃は手作業で行われたと思われる」と述べている。
かれは、「この活動が、自動化されたサイバー犯罪ボットネットによるエクスプロイトではなく、特定のキャンペーンの一部であることを示す証拠がある。私たちの観察によると、このキャンペーンの背後にいる行為者は、大量スキャンを目的にしているのではなく、VPN アプライアンスの特定の環境を標的にしているようだ」と述べている。
Forescout によると、この攻撃は、2024年3月にPalo Alto Networks Unit 42 と Blumira により、観察/記録された戦術と重複しているという。そのときには、ScreenConnect と Atera をダウンロードするために、脆弱性 CVE-2023-48788 を悪用するという、インフラが使用されていた。
ユーザー組織に対して推奨されるのは、潜在的な脅威に対処するために Fortinet が提供するパッチを適用し、疑わしいトラフィックを監視し、悪意のリクエストをブロックするために、WAF を使用することである。
Fortinet FortiClient EMS デバイスの脆弱性 CVE-2023-48788 を悪用して、ScreenConnect および Metasploit Powerfun ペイロードを配信するキャンペーンとのことですが、ConnectWise の ScreenConnect の、マルウェア化したものが展開されているということなのでしょうか? この記事を読む限りでは、そのあたりことが、よく分かりません。すでに攻撃が確認されているようなので、ご利用のチームは、ご注意ください。よろしければ、Fortinet で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.