在安装 AnyDesk 和 ScreenConnect 等远程桌面软件的网络攻击活动中,恶意攻击者正在利用一个已修补的影响 Fortinet FortiClient EMS 的重要安全漏洞。该漏洞是CVE-2023-48788(CVSS评分:9.3),是一个SQL注入漏洞,允许攻击者通过发送特制数据包执行未经授权的代码或命令。俄罗斯网络安全公司卡巴斯基(Kaspersky)称,2024 年 10 月的这次攻击针对的是一家未具名公司的 Windows 服务器,该服务器暴露在互联网上,并且有两个与 FortiClient EMS 相关的开放端口。该公司在周四的一份分析报告中说:“目标公司采用了这项技术,允许员工将特定策略下载到他们的公司设备上,使他们能够安全地访问 Fortinet VPN。”对该事件的进一步分析发现,威胁行为者利用 CVE-2023-48788 作为初始访问载体,随后投放 ScreenConnect 可执行文件,以获取对受攻击主机的远程访问权限。卡巴斯基说:“在初始安装之后,攻击者开始向被入侵系统上传额外的有效载荷,以开始发现和横向移动活动,如枚举网络资源、试图获取凭证、执行防御规避技术,以及通过 AnyDesk 远程控制工具生成更多类型的持久性。”下面列出了在攻击过程中投放的其他一些值得注意的工具–Webbrowserpassview.exe。webbrowserpassview.exe,这是一款密码恢复工具,可揭示存储在 Internet Explorer(4.0 – 11.0 版)、Mozilla Firefox(所有版本)、谷歌浏览器、Safari 和 Opera 中的密码。Mimikatznetpass64.exe,密码恢复工具netscan.exe,网络扫描器据信,幕后的威胁分子利用不同的 ScreenConnect 子域名(如 infinity.screenconnect[.]com),将巴西、克罗地亚、法国、印度、印度尼西亚、蒙古、纳米比亚、秘鲁、西班牙、瑞士、土耳其和阿联酋的多家公司作为攻击目标。卡巴斯基说,它在 2024 年 10 月 23 日检测到了将 CVE-2023-48788 武器化的进一步尝试,这次是在扫描易受该漏洞影响的系统时,执行托管在 webhook[.]site 域上的 PowerShell 脚本,以 “收集来自易受攻击目标的响应”。网络安全公司 Forescout 在八个多月前发现了一个类似的活动,利用 CVE-2023-48788 发送 ScreenConnect 和 Metasploit Powerfun 有效载荷。研究人员说:“对这一事件的分析帮助我们确定,攻击者目前用于部署远程访问工具的技术在不断更新,复杂性也在不断增加。”
