Агентство по кибербезопасности и защите инфраструктуры (CISA), Федеральное бюро расследований (FBI) и Национальные кибернетические силы (CNMF) выявили наличие индикаторов компрометации (IOC) в одной из организаций авиационного сектора еще в январе 2023 года.
Аналитики подтвердили, что субъекты современных постоянных угроз (APT) национального происхождения использовали CVE-2022-47966 для получения несанкционированного доступа к публичному приложению (Zoho ManageEngine ServiceDesk Plus), установления персистентности и перемещения по сети. Данная уязвимость позволяет удаленно выполнить код в приложении ManageEngine. Также были замечены дополнительные субъекты APT, эксплуатировавшие CVE-2022-42475 для установления присутствия на межсетевом устройстве организации.
Indicators of Compromise
IPv4
- 102.129.145.232
- 108.62.118.160
- 144.202.2.71
- 154.6.91.26
- 154.6.93.12
- 154.6.93.22
- 154.6.93.24
- 154.6.93.32
- 154.6.93.5
- 179.60.147.4
- 184.170.241.27
- 191.96.106.40
- 192.142.226.153
- 207.246.105.240
- 45.77.121.232
- 47.90.240.218
SHA256
- 334c2d0af191ed96b15095a4a098c400f2c0ce6b9c66d1800f6b74554d59ff4b
- 47dacb8f0b157355a4fd59ccbac1c59b8268fe84f3b8a462378b064333920622
- 6dcc7b5e913154abac69687fcfb6a58ac66ec9b8cc7de7afd8832a9066b7bdde
- 79a9136eedbf8288ad7357ddaea3a3cd1a57b7c6f82adffd5a9540e1623bfb63
