VietNetwork.Vn

Một lỗ hổng bảo mật mới được tiết lộ trong OSGeo GeoServer GeoTools đã bị khai thác như một phần của nhiều chiến dịch phát tán trình đào tiền điện tử, phần mềm độc hại botnet như Condi và JenX, cùng một cửa hậu có tên là SideWalk.

Lỗ hổng bảo mật là lỗi thực thi mã từ xa nghiêm trọng (CVE-2024-36401, điểm CVSS: 9,8) có thể cho phép kẻ xấu chiếm quyền điều khiển các phiên bản dễ bị tấn công.


Vào giữa tháng 7, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm nó vào danh mục Lỗ hổng đã khai thác được biết đến (KEV) của mình, dựa trên bằng chứng về việc khai thác đang diễn ra. Shadowserver Foundation cho biết họ đã phát hiện ra các nỗ lực khai thác đối với các cảm biến honeypot của mình bắt đầu từ ngày 9 tháng 7 năm 2024.

Theo Fortinet FortiGuard Labs, lỗ hổng này được phát hiện có thể cung cấp GOREVERSE, một máy chủ proxy ngược được thiết kế để thiết lập kết nối với máy chủ chỉ huy và kiểm soát (C2) cho hoạt động khai thác sau đó.

Các cuộc tấn công này được cho là nhắm vào các nhà cung cấp dịch vụ CNTT ở Ấn Độ, các công ty công nghệ ở Hoa Kỳ, các cơ quan chính phủ ở Bỉ và các công ty viễn thông ở Thái Lan và Brazil.

Máy chủ GeoServer cũng đóng vai trò là đường dẫn cho Condi và một biến thể botnet Mirai có tên là JenX, cùng ít nhất bốn loại thợ đào tiền điện tử, một trong số đó được lấy từ một trang web giả mạo Viện Kế toán Công chứng Ấn Độ (ICAI).

Có lẽ chuỗi tấn công đáng chú ý nhất tận dụng lỗ hổng này là chuỗi tấn công phát tán một cửa hậu Linux tiên tiến có tên là SideWalk, được cho là do một tác nhân đe dọa từ Trung Quốc theo dõi là APT41 thực hiện.

Điểm khởi đầu là một tập lệnh shell có nhiệm vụ tải xuống các tệp nhị phân ELF cho kiến trúc ARM, MIPS và X86, sau đó trích xuất máy chủ C2 từ cấu hình được mã hóa, kết nối với máy chủ đó và nhận các lệnh tiếp theo để thực thi trên thiết bị bị xâm phạm.

Điều này bao gồm việc chạy một công cụ hợp pháp được gọi là Fast Reverse Proxy (FRP) để tránh bị phát hiện bằng cách tạo đường hầm được mã hóa từ máy chủ đến máy chủ do kẻ tấn công kiểm soát, cho phép truy cập từ xa liên tục, đánh cắp dữ liệu và triển khai tải trọng.

Các nhà nghiên cứu an ninh Cara Lin và Vincent Li cho biết: "Các mục tiêu chính dường như phân bổ ở ba khu vực chính: Nam Mỹ, Châu Âu và Châu Á".

"Sự lan rộng về mặt địa lý này cho thấy một chiến dịch tấn công tinh vi và có phạm vi rộng, có khả năng khai thác các lỗ hổng phổ biến trong các thị trường đa dạng này hoặc nhắm vào các ngành công nghiệp cụ thể phổ biến ở những khu vực này."

Sự phát triển này diễn ra khi CISA tuần này đã bổ sung vào danh mục KEV của mình hai lỗ hổng được tìm thấy vào năm 2021 trong DrayTek VigorConnect (CVE-2021-20123 và CVE-2021-20124, điểm CVSS: 7,5) có thể bị khai thác để tải xuống các tệp tùy ý từ hệ điều hành cơ bản với quyền root.