Хакеры использовали программное обеспечение для выставления счетов нулевого дня для развертывания программ-вымогателей

27
Иранские хакеры разоблачены в ходе целенаправленной кампании шпионажа

Неизвестная группа программ-вымогателей использует критическую ошибку SQL-инъекции, обнаруженную во время и биллинговом решении BillQuick Web Suite, для развертывания программ-вымогателей в сетях своих целей в ходе текущих атак.

BQE Software, компания, стоящая за BillQuick, утверждает, что у нее 400 000 сильных пользователей по всему миру.

По словам исследователей безопасности из команды Huntress ThreatOps, уязвимость, отслеживаемая как CVE-2021-42258 , может быть чрезвычайно легко вызвана запросами на вход с недопустимыми символами (одинарная кавычка) в поле имени пользователя.

Эта активно используемая уязвимость была исправлена ​​7 октября после того, как Huntress Labs уведомила BQE Software об ошибке.

Однако исследователи также обнаружили восемь других уязвимостей нулевого дня BillQuick (например, CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021- 42573, CVE-2021-42741, CVE-2021-42742), которые также можно использовать для начального доступа / выполнения кода и готовы к злоупотреблениям, поскольку они все еще ждут патча.

Непропатченный сервер BillQuick использовался для взлома инженерной компании

«Наша команда смогла успешно воссоздать эту атаку на основе SQL-инъекций и может подтвердить, что хакеры могут использовать ее для доступа к данным BillQuick клиентов и выполнения вредоносных команд на своих локальных серверах Windows», — сказала Huntress Labs.

«Мы были в тесном контакте с командой BQE, чтобы уведомить их об этой уязвимости, оценить изменения кода, реализованные в WebSuite 2021 версии 22.0.9.1, и работать над решением множества проблем безопасности, которые мы подняли в связи с их предложениями BillQuick и Core (подробнее об этом позже эти, когда исправления доступны) «.

По словам исследователей, с момента начала атак американская инженерная компания уже зашифровала свои системы после того, как уязвимый сервер BillQuick был взломан и использовался в качестве начальной точки доступа к ее сети.

«Наблюдаемый нами субъект не соответствовал ни одному известному / крупному субъекту угрозы, о котором мы знаем. Это мое личное мнение, что это был более мелкий субъект и / или группа, исходя из их поведения во время эксплуатации и после эксплуатации», — исследователь безопасности Huntress Labs. Калеб Стюарт сказал.

«Однако, исходя из проблем, которые мы идентифицировали / раскрыли, я ожидаю, что дальнейшая эксплуатация со стороны других, продвигающихся вперед, вероятна. Мы наблюдали активность в выходные дни Дня Колумба (8-10 октября 2021 года)».

Активен как минимум с мая 2020

Банда вымогателей, стоящая за этими атаками, неизвестна, и ее операторы не бросали записки о выкупе в зашифрованные системы, чтобы упростить их идентификацию или попросить своих жертв заплатить выкуп в обмен на дешифраторы.

Кроме того, неясно, используется ли программа-вымогатель в качестве приманки для сокрытия другой вредоносной деятельности, такой как кража данных, или предполагается, что жертвы будут знать, что отправят злоумышленнику письмо по электронной почте из расширения, добавленного к зашифрованным файлам.

BleepingComputer обнаружила, что программа-вымогатель, развернутая этой группой, используется по крайней мере с мая 2020 года и в значительной степени заимствует код из других семейств программ-вымогателей на основе AutoIT.

Злоумышленники, вероятно, используют этот подход, потому что добавленное расширение само намекает на то, какую электронную почту должны использовать жертвы, чтобы запросить подробности о том, как восстановить свои данные.

В августе ФБР и CISA предупредили организации, чтобы они не ослабляли свою защиту от атак программ-вымогателей в выходные или праздничные дни в совместных рекомендациях по кибербезопасности.

Два федеральных правительственных агентства заявили, что они «наблюдали рост очень эффективных атак с использованием программ-вымогателей, происходящих в праздничные и выходные дни — когда офисы обычно закрыты — в Соединенных Штатах, совсем недавно, в праздничные дни четвертого июля в 2021 году».

Последнее обновление 10 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии