Black Basta、Bl00dy 勒索软件团伙利用 ConnectWise 漏洞

现在已经观察到更多勒索软件团伙，包括臭名昭著的 Black Basta 行动，正在利用 ConnectWise ScreenConnect 软件平台中的两个重大漏洞， 于 2024 年 2 月 19 日星期一披露。

CVE-2024-1708和CVE-2024-1709是路径遍历和身份验证绕过漏洞，CVSS分数分别为8.4和10。 ConnectWise 已提供补丁，以及这些补丁的详细信息、危害指标 (IoC) 和易受攻击的版本， 可以在这里找到。 它们被描述为很容易被利用，而且极其危险。

截至 2 月 23 日星期五，有消息称，一名威胁行为者 使用 LockBit 的泄露版本 考虑到该团伙最近遇到的麻烦，LockBit 可能不会——已经开始在勒索软件攻击中利用 ConnectWise ScreenConnect 漏洞。

今天早些时候（2 月 27 日星期二），趋势科技研究人员 Ian Kenefick、Junestherry Dela Cruz 和 Peter Girnus 公布新情报 揭示了他们发现的 Black Basta 和 Bl00dy 勒索软件团伙利用 ConnectWise ScreenConnect 漏洞来攻击迄今为止未能修补的组织。

该团队在披露通知中写道：“我们的遥测发现，不同的威胁行为者团体正在利用 ConnectWise ScreenConnect 中的漏洞，采取从勒索软件部署到信息窃取和数据泄露攻击等策略。”

“这些活动源自不同的入侵集，凸显了保护系统免受这些漏洞影响的紧迫性…… 这进一步强调了 ScreenConnect 用户迫切需要有效的防御策略和快速修补。”

黑色巴斯塔——最近 攻击英国南方水务公司的系统 – 观察到在某些环境中部署 Cobalt Strike 信标，以便在执行攻击的最后阶段之前执行侦察、资产发现和特权升级活动。

趋势科技未透露身份的另一个组织在被发现试图使用 PowerShell 禁用 Windows Defender 中的实时监控功能后受到跟踪，此后该组织还部署了 Cobalt Strike。

Bl00dy 的存在，去年通过零日攻击攻击了多个目标 在打印管理软件平台中趋势科技在观察到该组织部署了 Conti 和 LockBit Black (LockBit 3.0) 储物柜的泄露版本后确定了这一点。

还跟踪了利用多方面 XWorm 恶意软件利用 ConnectWise ScreenConnect 漏洞的威胁行为者，该恶意软件提供远程访问、自传播功能、数据泄露，并且还能够下载额外的有效负载。

“我们强调更新到最新版本软件的紧迫性。 立即修补不仅是可取的，而且也是可取的。 保护您的系统免受这些已识别的威胁是一项关键的安全要求。”趋势科技团队写道。

“如果被利用，这些漏洞可能会损害敏感数据、扰乱业务运营并造成重大财务损失。 威胁行为者正在积极利用这些弱点来传播勒索软件，这一事实增加了立即采取纠正行动的紧迫性。”