Top 12 defecte de securitate exploatate de hackeri ruși

Agenții cibernetici afiliați serviciului rus de informații externe (Sluzhba Vneshney Razvedki – SVR) și-au schimbat tacticile ca răspuns la dezvăluirile publice anterioare ale metodelor lor de atac, potrivit unui nou aviz publicat în comun de agențiile de informații din Marea Britanie și SUA la finele săptămânii trecute.

„Operatorii cibernetici SVR par să fi reacționat […] schimbându-și TTP-urile în încercarea de a evita eforturile suplimentare de detectare și remediere de către responsabilii de securitatea rețelelor”, a spus Centrul Național de Securitate Cibernetică (NCSC).

Acestea includ implementarea unui instrument open-source numit Sliver pentru a-și menține accesul la victimele compromise, precum și utilizarea defectelor ProxyLogon din serverele Microsoft Exchange pentru a desfășura activități post-exploatare.

Evoluția are loc ca urmare a conexiunii făcută publică luna trecută între actorii legați de SVR și atacul din lanțul de aprovizionare SolarWinds. Adversarul este, de asemenea, urmărit sub diferite pseudonime, cum ar fi Advanced Persistent Threat 29 (APT29), Dukes, CozyBear și Yttrium.

Conexiunea a fost, de asemenea, însoțită de un raport tehnic care detaliază cinci vulnerabilități pe care grupul SVR APT29 le folosea ca puncte de acces inițiale pentru a se infiltra în entități din SUA și alte țări.

CVE-2018-13379 – Fortinet FortiGate VPN

CVE-2019-9670 – Synacor Zimbra Collaboration Suite

CVE-2019-11510 – Pulse Secure Pulse Connect Secure VPN

CVE-2019-19781 – Citrix Application Delivery Controller și Gateway

CVE-2020-4006 – Acces VMware Workspace ONE

„SVR vizează organizațiile care se aliniază la interesele de informații externe rusești, inclusiv ținte guvernamentale, think-tank, politici și energie, precum și ținte de moment cum a fost, de exemplu, vizarea vaccinului COVID-19 în 2020”, a spus NCSC.

Acesta a fost urmat de o avizare separată pe 26 aprilie care aruncă mai multă lumină asupra tehnicilor utilizate de grup pentru a orchestra intruziunile, incluzând password spraying, exploatând defectele zero-day ale dispozitivelor din rețele private virtuale (de exemplu, CVE-2019-19781) pentru a obține acces la rețea și implementarea unui malware Golang numit WELLMESS pentru a intra în posesia proprietatea intelectuală a mai multor organizații implicate în dezvoltarea vaccinului COVID-19.

Acum, potrivit NCSC, alte șapte vulnerabilități au fost adăugate în listă, menționând în același timp că este foarte probabil ca APT29 să utilizeze vulnerabilitățile publice lansate recent, care ar putea permite accesul inițial la țintele lor.

CVE-2019-1653 – Routerele Cisco Small Business RV320 și RV325

CVE-2019-2725 – Oracle WebLogic Server

CVE-2019-7609 – Kibana

CVE-2020-5902 – F5 Big-IP

CVE-2020-14882 – Oracle WebLogic Server

CVE-2021-21972 – VMware vSphere

CVE-2021-26855 – Server Microsoft Exchange

„Cei care se ocupă de securitatea rețelelor ar trebui să se asigure că patch-urile de securitate sunt aplicate cu promptitudine în urma anunțurilor CVE pentru produsele pe care le administrează”, a spus agenția.

Sursa: The Hacker News

Related

Related Posts

BESTEM 2025: Hackathonul care redefinește competiția în IT și inginerie

Vertiv™ PowerUPS 9000: Un nou standard în protecția alimentării

Schneider Electric îl numește pe Pablo Ruiz Escribano în funcția de Senior Vice President pentru Secure Power & Data Center Business în Europa