Новости Сразу две хак-группы взломали федеральное ведомство в США, используя баг четырехлетней давности

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Американские власти сообщили, что несколько злоумышленников (включая правительственных хакеров) получили доступ к сети неназванного федерального ведомства в США, воспользовавшись уязвимостью четырехлетней давности, которая оставалась неисправленной.


Специалисты Агентства по инфраструктуре и кибербезопасности США (CISA) , что одна группировка воспользовалась уязвимостью еще в августе 2021 года, а вторая хак-группа эксплуатировала баг в августе 2022 года. В итоге с ноября прошлого года и до начала января 2023 года сервер демонстрировал признаки компрометации.

1-91.jpg


Баг, который использовали злоумышленники, это уязвимость в UI-компоненте Telerik ASP.NET AJAX, связанная с десериализацией, что позволяет удаленно выполнять код на уязвимых серверах. Как оказалось, уязвимым перед этой проблемой был веб-сервер Microsoft Internet Information Services (IIS) неназванного федерального агентства.

Эта проблема была исправлена разработчиками еще в 2019 году, когда Progress версию 2020.1.114. Ошибка набрала 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS, и в 2020 году специалисты АНБ , что проблему активно эксплуатируют китайские правительственные хакеры.

Чтобы воспользоваться CVE-2019-18935, хакеры должны были получить ключи шифрования, используемые компонентом Telerik RadAsyncUpload. Эксперты пишут, что для этого злоумышленники, вероятно, применили одну из , обнаруженных в 2017 году, которые тоже оставались неисправленными на государственном сервере.

В итоге обе группировки использовали CVE-2019-18935 для загрузки и выполнения вредоносных файлов DLL, маскирующихся под изображения PNG, через процесс w3wp.exe. Эти DLL предназначались для сбора системной информации, загрузки дополнительных библиотек, перечисления файлов, процессов, обхода средств защиты, создания реверс-шеллов, а также передачи данных на удаленные серверы. Проверка логов показала, что некоторые из загруженных DLL присутствовали в системе еще в августе 2021 года.

Тогда как правительственная хак-группа фигурирует в отчете экспертов лишь под идентификатором TA1, вторая группировка (TA2), судя по всему, также известна под названием XE Group. Деятельность этих злоумышленников в 2021 году подробно описывали эксперты из ИБ-компании По их данным, группировка базируется во Вьетнаме и «сделала себе имя» именно на компрометации продукции Progress Telerik.

По информации компании , это финансово мотивированная группировка, которая в основном занимается веб-скиммингом банковских карт.

 
Сверху Снизу