A Agência de Segurança Cibernética e Infra-estrutura dos EUA (CISA) na sexta-feira acrescentado três falhas para as suas Vulnerabilidades Exploradas Conhecidas (KEV) catálogo, citando provas de abuso activo na natureza.
Entre os três está incluído CVE-2022-24990Um erro que afecta os dispositivos de armazenamento conectado à rede TerraMaster (TNAS) e que pode levar à execução de código remoto não autenticado com os mais altos privilégios.
Detalhes sobre a falha foram revelados pela empresa etíope de investigação de segurança cibernética Octagon Networks em Março de 2022.
A vulnerabilidade, de acordo com um comunicado conjunto das autoridades governamentais dos EUA e da Coreia do Sul, terá sido armada por hackers norte-coreanos para atacar entidades de cuidados de saúde e infra-estruturas críticas com resgates.
A segunda falha a ser adicionada ao catálogo KEV é CVE-2015-2291Uma falha não especificada no driver de diagnóstico Intel ethernet para Windows (IQVW32.sys e IQVW64.sys) que poderia atirar um dispositivo afectado para um estado de negação de serviço.
A exploração do CVE-2015-2291 na natureza foi revelado por CrowdStrike no mês passado, detalhando um ataque de Scattered Spider (aka Roasted 0ktapus ou UNC3944) que implicou uma tentativa de plantar uma versão legitimamente assinada mas maliciosa do condutor vulnerável usando uma táctica chamada Bring Your Own Vulnerable Driver (BYOVD).
O objectivo, disse a empresa ciber-segurança, era contornar o software de segurança de endpoint instalado no anfitrião comprometido. O ataque acabou por ser infrutífero.
O desenvolvimento sublinha a crescente adopção da técnica por múltiplos actores da ameaça, nomeadamente BlackByte, Earth Longzhi, Lazarus Group, e OldGremlin, para alimentar as suas intrusões com privilégios elevados.
Finalmente, a CISA também acrescentou uma injecção de código remoto descoberta no GoAnywhere da Fortra, aplicação de transferência de ficheiros gerida por MFT (CVE-2023-0669) para o catálogo KEV. Enquanto as correcções para a falha foram divulgadas recentemente, a exploração foi ligada a um grupo de cibercrimes afiliado a uma operação de resgate.
Caçadora, em um análise publicado no início desta semana, disse ter observado a cadeia de infecção que levou à implantação do TrueBot, um malware do Windows atribuído a um actor ameaçador conhecido como Silêncio e que partilha ligações com Evil Corp, uma equipa russa de cibercrime que exibe sobreposições tácticas com o TA505.
Com TA505 facilitando a implementação do Clop ransomware no passado, suspeita-se que os ataques são um precursor para a implementação de malware de bloqueio de ficheiros em sistemas alvo.
Além disso, blog de segurança Bleeping Computer reportado que a equipa de resgate do Clop chegou à publicação e alegou ter explorado a falha para roubar dados armazenados nos servidores comprometidos de mais de 130 empresas.
As agências do Poder Executivo Federal Civil (FCEB) são obrigadas a aplicar as correcções até 3 de Março de 2023, para proteger as redes contra ameaças activas.