В течение нескольких недель неизвестные злоумышленники использовали критическую уязвимость нулевого дня в программном обеспечении PAN-OS компании Palo Alto Networks и выполняли произвольный код на уязвимых брандмауэрах с правами root.
О кампании сообщили несколько исследователей в области безопасности, в том числе Unit 42 компании Palo Alto Networks, отметив, что одна группа злоумышленников злоупотребляет уязвимостью под названием Command Injection, по крайней мере, с 26 марта 2024 года.
Эта уязвимость теперь отслеживается как CVE-2024-3400 и имеет максимальную серьезность 10.0. Кампания под названием MidnightEclipse была нацелена на конфигурации брандмауэров PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1 с включенным GlobalProtect Gateway и телеметрией устройств, поскольку это единственные уязвимые конечные точки.
Очень способный злоумышленник
Злоумышленники использовали уязвимость для установки бэкдора на основе Python в брандмауэре, который Volexity, отдельный злоумышленник, наблюдавший за кампанией в реальных условиях, назвал UPSTYLE. Хотя мотивы кампании являются предметом предположений, исследователи полагают, что конечной целью является получение конфиденциальных данных. Исследователи не знают точно, сколько жертв и на кого в первую очередь нацелены нападавшие. Первоначально злоумышленникам было присвоено прозвище UTA0218.
«Навыки и скорость, использованные злоумышленником, позволяют предположить, что это очень способный злоумышленник, у которого есть четкая схема того, к чему ему нужен доступ для достижения своих целей», — говорят исследователи. «Первоначальные цели UTA0218 заключались в получении резервных ключей DPAPI домена и целевых учетных данных Active Directory путем получения файла NTDS.DIT. «Кроме того, они нацелились на рабочие станции пользователей, чтобы украсть сохраненные файлы cookie и учетные данные для входа, а также ключи DPAPI пользователей».
В своем эссе Хакерские новости сообщил, что Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило этот недостаток в свой каталог известных эксплуатируемых уязвимостей (KEV), предоставив федеральным властям крайний срок 19 апреля для установки исправления и устранения угрозы для уменьшения в противном случае.
«Нацеливание на периферийные устройства остается популярным вектором атак для сложных злоумышленников, у которых есть время и ресурсы для инвестиций в исследование новых уязвимостей», — заявили в Volexity.
«Весьма вероятно, что UTA0218 является спонсируемым государством злоумышленником, исходя из ресурсов, необходимых для разработки и использования уязвимости этого типа, типа жертв, на которых нацелен этот субъект, и заявленных возможностей установки бэкдора Python и обеспечения дальнейшего доступ к сетям жертв».
Больше от TechRadar Pro
