Pesquisadores de segurança cibernética descobriram uma nova campanha que explora uma falha de segurança recentemente divulgada em dispositivos Fortinet FortiClient EMS para fornecer cargas úteis ScreenConnect e Metasploit Powerfun.
A atividade envolve a exploração de CVE-2023-48788 (pontuação CVSS: 9,3), uma falha crítica de injeção de SQL que pode permitir que um invasor não autenticado execute códigos ou comandos não autorizados por meio de solicitações especificamente criadas.
A empresa de segurança cibernética Forescout está rastreando a campanha sob o codinome Conecte-se: divertido devido ao uso de ScreenConnect e Powerfun para pós-exploração.
A invasão teve como alvo uma empresa de mídia não identificada que teve seu dispositivo vulnerável FortiClient EMS exposto à Web emblem após o lançamento de uma exploração de prova de conceito (PoC) para a falha em 21 de março de 2024.
Nos dias seguintes, o adversário desconhecido foi observado aproveitando a falha para baixar o ScreenConnect sem sucesso e depois instalar o software program de desktop remoto usando o utilitário msiexec.
No entanto, em 25 de março, a exploração PoC foi usada para iniciar o código do PowerShell que baixou o script Powerfun do Metasploit e iniciou uma conexão reversa com outro endereço IP.
Também foram detectadas instruções SQL projetadas para baixar o ScreenConnect de um domínio remoto (“ursketz(.)com”) usando certutil, que foi então instalado by way of msiexec antes de estabelecer conexões com um servidor de comando e controle (C2).
Há evidências que sugerem que o agente da ameaça por trás dela está ativo pelo menos desde 2022, destacando especificamente os dispositivos Fortinet e usando os idiomas vietnamita e alemão em sua infraestrutura.
“A atividade observada tem claramente um componente handbook evidenciado por todas as tentativas fracassadas de baixar e instalar ferramentas, bem como pelo tempo relativamente longo entre as tentativas”, disse o pesquisador de segurança Sai Molige.
“Esta é uma evidência de que esta atividade faz parte de uma campanha específica, e não de uma exploração incluída em botnets cibercriminosos automatizados. A partir de nossas observações, parece que os atores por trás desta campanha não estão fazendo varreduras em massa, mas escolhendo ambientes-alvo que possuem dispositivos VPN”.
Forescout disse que o ataque compartilha sobreposições táticas e de infraestrutura com outros incidentes documentados pela Unidade 42 da Palo Alto Networks e Blumira em março de 2024 que envolvem o abuso de CVE-2023-48788 para baixar ScreenConnect e Atera.
Recomenda-se que as organizações apliquem patches fornecidos pela Fortinet para lidar com ameaças potenciais, monitorar tráfego suspeito e usar um firewall de aplicativo internet (WAF) para bloquear solicitações potencialmente maliciosas.
