Главная страница » IOC
0
4 месяца
IOC

Злоумышленники эксплуатируют исправленную уязвимость FortiClient EMS в дикой природе

security

Команда GERT Касперского обнаружила инцидент, связанный с взломом системы компании через уязвимость Fortinet, для которой уже вышло обновление. Эта уязвимость касается версий FortiClient EMS от 7.0.1 до 7.0.10 и от 7.2.0 до 7.2.2. Злоумышленники могут выполнить несанкционированный код или команды, используя специально созданные пакеты данных.

Содержание
  1. Описание
  2. Indicators of Compromise
  3. IPv4
  4. IPv4 Port Combinations
  5. Domains
  6. URLs
  7. SHA1

Описание

Система, подвергшаяся атаке, была Windows-сервером, имела доступ в Интернет и открытые порты, связанные с Fortinet VPN. Идентификация и локализация инцидента показали попытки взлома через уязвимые порты и запросы на административные ресурсы с использованием учетной записи администратора. Также были обнаружены неудачные попытки входа в систему с одного и того же внутреннего IP-адреса на нескольких хостах.

Дальнейший анализ показал наличие инструментов удаленного мониторинга и управления на сервере-источнике. Уязвимость CVE-2023-48788 была подтверждена, и были найдены доказательства эксплуатации через SQL-инъекции в журнале ошибок MS SQL Server.

С помощью данных телеметрии от «Касперского» удалось идентифицировать команды, выполняемые злоумышленниками, которые использовали Base64-кодированный URL. Команды, содержащиеся в этом URL, выполнялись с использованием инструментов Windows, таких как PowerShell и cmd.exe.

Итак, инцидент позволил злоумышленникам получить несанкционированный доступ к серверу через уязвимость Fortinet, используя SQL-инъекции. Анализ данных показал наличие инструментов удаленного мониторинга и управления на сервере-источнике. Была обнаружена уязвимость CVE-2023-48788, и были найдены доказательства ее эксплуатации через SQL-инъекции в журнале ошибок MS SQL Server. Злоумышленники использовали инструменты Windows, такие как PowerShell и cmd.exe, для выполнения команд.

Indicators of Compromise

IPv4

  • 45.141.84.45

IPv4 Port Combinations

  • 185.216.70.170:1337

Domains

  • corsmich.screenconnect.com
  • infinity.screenconnect.com
  • kle.screenconnect.com
  • qvmlaztyjogwgkikmknv2ch3t5yhb6vw4.oast.fun
  • trembly.screenconnect.com

URLs

  • http://148.251.53.222:14443/SETUP.MSI
  • http://185.196.9.31:8080/bd7OZy3uMQL-YabI8FHeRw
  • http://185.216.70.170
  • http://185.216.70.170/72.bat
  • http://185.216.70.170/A
  • http://185.216.70.170/HELLO
  • http://185.216.70.170/OO.BAT
  • http://185.216.70.170/sos.txt
  • http://206.206.77.33:8080/xeY_J7tYzjajqYj4MbtB0w
  • http://5.61.59.201:8080/7k9XBvjahnQK09abSc8SpA %TEMP%\FaLNkAQGOe.exe
  • http://5.61.59.201:8080/7k9XBvjahnQK09abSc8SpA %TEMP%\QgCNsJRB.exe
  • http://5.61.59.201:8080/FlNOfGPkOL4qc_gYuWeEYQ %TEMP%\gfLQPbNLYYYh.exe
  • http://87.120.125.55:8080/BW_qY1OFZRv7iNiY_nOTFQ %TEMP%\EdgouRkWzLsK.exe
  • https://allwebemails1.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest
  • https://corsmich.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest
  • https://infinity.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest
  • https://kle.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest
  • https://lindeman.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest
  • https://myleka.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest
  • https://petit.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest
  • https://sipaco2.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest
  • https://solarnyx2410150445.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest
  • https://sorina.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest
  • https://trembly.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest
  • https://webhook.site/7ece827e-d440-46fd-9b22-cc9a01db03c8
  • https://webhook.site/d0f4440c-927c-460a-a543-50d4fc87c8a4
  • https://web-r6hl0n.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest
  • https://www.lidahtoto2.com/assets/im.ps1

SHA1

  • 34162aaf41c08f0de2f888728b7f4dc2a43b50ec
  • 441a52f0112da187244eeec5b24a79f40cc17d47
  • 44b83dd83d189f19e54700a288035be8aa7c8672
  • 59e1322440b4601d614277fe9092902b6ca471c2
  • 73f8e5c17b49b9f2703fed59cc2be77239e904f7
  • 746710470586076bb0757e0b3875de9c90202be2
  • 75ebd5bab5e2707d4533579a34d983b65af5ec7f
  • 83cff3719c7799a3e27a567042e861106f33bb19
  • 841fff3a36d82c14b044da26967eb2a8f61175a8
  • 8834f7ab3d4aa5fb14d851c7790e1a6812ea4ca8
  • 8cfd968741a7c8ec2dcbe0f5333674025e6be1dc
  • bc29888042d03fe0ffb57fc116585e992a4fdb9b
  • cf1ca6c7f818e72454c923fea7824a8f6930cb08
  • e3b6ea8c46fa831cec6f235a5cf48b38a4ae8d69
Комментарии: 0
Похожие записи
0
18 часов
IOC

Новая версия Triada распространяется, встроенная в прошивку Android-устройств

remote access Trojan
Исследователи Kaspersky Lab обнаружили новые версии вредоносного троянца Triada на предзагруженных Android-устройствах, что делает их уязвимыми еще до продажи. Фальшивые модели известных брендов были загружены на различные онлайн-маркеты.
0
8 дней
IOC

Кибератака на ViPNet: злоумышленники использовали бэкдор для похищения файлов

security
Компания ViPNet, разработчик программного обеспечения, подтвердила факт сложной целевой атаки на различные крупные организации в России, в том числе государственные, финансовые и промышленные.