Исследователи Trend Micro обнаружили атаки с удаленным выполнением кода (RCE) на WhatsUp Gold, приложение для мониторинга сети и ИТ-инфраструктуры, начиная с 30 августа 2024 года.
Эти атаки использовали функцию Active Monitor PowerShell Script в приложении и были связаны с уязвимостями CVE-2024-6670 и CVE-2024-6671. Несмотря на то, что исправления были доступны 16 августа, атаки начались вскоре после того, как 30 августа было выпущено доказательство концепции (PoC), что подчеркивает необходимость своевременного управления исправлениями.
Злоумышленники использовали процесс NmPoller.exe для выполнения сценариев PowerShell, загружая инструменты удаленного доступа (RAT), такие как Atera Agent и Splashtop Remote, чтобы добиться стойкости. Эта атака демонстрирует быстрое использование недавно раскрытых уязвимостей, особенно когда исправления откладываются. Организациям рекомендуется своевременно применять исправления, ограничивать доступ к консолям управления и API, использовать надежные пароли и внимательно следить за подозрительными процессами, такими как NmPoller.exe, чтобы снизить вероятность подобных угроз.
Indicators of Compromise
URLs
- http://45.227.255.216:29742/ddQCz2CkW8/setup.msi
- https://fedko.org/wp-includes/ID3/setup.msi
- https://webhook.site/b6ef7410-9ec8-44f7-8cdf-7890c1cf5837
SHA256
- 6daa94a36c8ccb9442f40c81a18b8501aa360559865f211d72a74788a1bbf3ce
- 992974377793c2479065358b358bb3788078970dacc7c50b495061ccc4507b90
- f1c68574167eaea826a90595710e7ee1a1e75c95433883ce569a144f116e2bf4
