Угрозы безопасности: уязвимость CVE-2024-24919 атакует организации

Угрозы безопасности: уязвимость CVE-2024-24919 атакует организации

Недавно выявленный кластер действий с угрозами привлек особое внимание благодаря использованию уязвимости, ранее исправленной в программном обеспечении безопасности Check Point, известной как CVE-2024-24919. С момента своего обнаружения в мае 2024 года, эта уязвимость предоставляет злоумышленникам возможность похищать учетные данные пользователей и входить в VPN с действительными учетными записями.

Масштаб угрозы

Кампания, проводимая злоумышленниками с июня 2024 года, нацелена на множество организаций по всему миру, включая:

  • Европу
  • Африку
  • Северную Америку
  • Южную Америку

Особое внимание уделяется производственному сектору, что подчеркивает критическую важность быстрого реагирования на угрозы.

Методы атаки

Запущенные атаки включают несколько ключевых методов:

  • Получение начального доступа через уязвимость CVE-2024-24919.
  • Сканирование сети с использованием протоколов RDP и SMB для повышения привилегий.
  • Боковая загрузка DLL для инсталляции вредоносного ПО ShadowPad.

ShadowPad обладает расширенными возможностями обфускации и защиты от отладки, что позволяет ему поддерживать постоянную связь с удаленным сервером, обеспечивая непрерывный доступ для злоумышленников. В некоторых случаях атаки также включали использование программы-вымогателя NailaoLocker, что подчеркивает многообразие угроз.

Рекомендации по защите

Для эффективного обнаружения и реагирования на указанную вредоносную активность организациям рекомендуется внедрить ряд стратегий мониторинга:

  • Отслеживание необычных входов в службу VPN.
  • Идентификация незнакомых устройств.
  • Тщательное изучение взаимодействий с нетипичными IP-адресами.

Дополнительными тревожными сигналами могут служить компьютеры с именами, основанными на соглашениях по умолчанию, такими как DESKTOP, за которыми следует буквенно-цифровая строка.

Критически важно также мониторить сеансы RDP, подключающиеся с IP-адресов, связанных с VPN, к важным ресурсам, таким как контроллеры домена.

Улучшение безопасности

Для усиления защиты компании должны:

  • Обновить свои системы, включая конечную точку Harmony, до версии 88.50 или выше.
  • Сбросить пароли учетных записей VPN.
  • Проверить пароли пользователей LDAP Check Point, привязанные к шлютам.

Решения Check Point, включая возможности IPS, помогают защититься от использования уязвимости CVE-2024-24919, а также обеспечивают защиту от вредоносного ПО ShadowPad и программ-вымогателей NailaoLocker. Комплексный подход к обеспечению безопасности остается жизненно важным в продолжающейся борьбе с этими возросшими киберугрозами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: