Абсолютно разные киберпреступники долго использовали слабые места одного и того же программного обеспечения.
Несколько независимых хакерских групп злоумышленников воспользовались критической уязвимостью трехлетней давности в Progress Telerik, чтобы проникнуть в системы федерального агентства гражданской исполнительной власти в США. Об этом говорится в совместном бюллетене безопасности , опубликованном CISA, ФБР и Межгосударственным центром обмена и анализа информации (MS-ISAC).
«Эксплуатация этой уязвимости позволила злоумышленникам удалённо выполнить вредоносный код на IIS-сервере федерального агентства гражданской исполнительной власти (FCEB)», — заявили ведомства.
Индикаторы компрометации (IoC), связанные со взломом, показывают, что у хакеров был доступ к системе с ноября 2022 года по начало января 2023 года.
Уязвимость CVE-2019-18935 (CVSS: 9,8) затрагивает пользовательский интерфейс Progress Telerik для ASP.NET AJAX и позволяет злоумышленникам удалённо выполнять код. Уязвимость была обнаружена ещё в конце 2019 года и часто эксплуатировалась киберпреступниками в 2020-2021 годах.
Telerik UI для ASP.NET AJAX — это набор инструментов для разработки веб-приложений на платформе ASP.NET AJAX. Он включает в себя множество готовых компонентов пользовательского интерфейса, таких как кнопки, графики, таблицы, выпадающие списки и многое другое. Эти компоненты помогают упростить процесс разработки и сократить время создания веб-приложений.
Ранее уязвимость CVE-2019-18935 использовалась в сочетании с CVE-2017-11317 злоумышленниками Praying Mantis (они же TG2021) для проникновения в сети государственных и частных организаций в США.
В прошлом месяце CISA также указала другую уязвимость в качестве активно используемой — CVE-2017-11357, способствующую удаленному выполнению кода и влияющую на пользовательский интерфейс Telerik.
Сообщается, что во время вторжения, зарегистрированного против агентства FCEB в августе 2022 года, злоумышленники использовали CVE-2019-18935 для загрузки и выполнения вредоносных DLL-файлов, замаскированных под изображения PNG.
Эти DLL-файлы сбрасывают и запускают утилиты обратной (удаленной) оболочки для незашифрованной связи с C2-сервером, чтобы доставлять дополнительные полезные нагрузки , включая веб-оболочку ASPX для постоянного доступа. Веб-оболочка специально сконструирована для удобной работы с файлами и простого выполнения различных вредоносных команд.
Для противодействия таким атакам организациям рекомендуется обновить свои экземпляры пользовательского интерфейса Telerik ASP.NET AJAX до последней версии, внедрить сегментацию сети и применить многофакторную проверку подлинности с защитой от фишинга для учетных записей с привилегированным доступом.
