Угрозы безопасности: уязвимость CVE-2024-24919 атакует организации

Недавно выявленный кластер действий с угрозами привлек особое внимание благодаря использованию уязвимости, ранее исправленной в программном обеспечении безопасности Check Point, известной как CVE-2024-24919. С момента своего обнаружения в мае 2024 года, эта уязвимость предоставляет злоумышленникам возможность похищать учетные данные пользователей и входить в VPN с действительными учетными записями.
Масштаб угрозы
Кампания, проводимая злоумышленниками с июня 2024 года, нацелена на множество организаций по всему миру, включая:
- Европу
- Африку
- Северную Америку
- Южную Америку
Особое внимание уделяется производственному сектору, что подчеркивает критическую важность быстрого реагирования на угрозы.
Методы атаки
Запущенные атаки включают несколько ключевых методов:
- Получение начального доступа через уязвимость CVE-2024-24919.
- Сканирование сети с использованием протоколов RDP и SMB для повышения привилегий.
- Боковая загрузка DLL для инсталляции вредоносного ПО ShadowPad.
ShadowPad обладает расширенными возможностями обфускации и защиты от отладки, что позволяет ему поддерживать постоянную связь с удаленным сервером, обеспечивая непрерывный доступ для злоумышленников. В некоторых случаях атаки также включали использование программы-вымогателя NailaoLocker, что подчеркивает многообразие угроз.
Рекомендации по защите
Для эффективного обнаружения и реагирования на указанную вредоносную активность организациям рекомендуется внедрить ряд стратегий мониторинга:
- Отслеживание необычных входов в службу VPN.
- Идентификация незнакомых устройств.
- Тщательное изучение взаимодействий с нетипичными IP-адресами.
Дополнительными тревожными сигналами могут служить компьютеры с именами, основанными на соглашениях по умолчанию, такими как DESKTOP, за которыми следует буквенно-цифровая строка.
Критически важно также мониторить сеансы RDP, подключающиеся с IP-адресов, связанных с VPN, к важным ресурсам, таким как контроллеры домена.
Улучшение безопасности
Для усиления защиты компании должны:
- Обновить свои системы, включая конечную точку Harmony, до версии 88.50 или выше.
- Сбросить пароли учетных записей VPN.
- Проверить пароли пользователей LDAP Check Point, привязанные к шлютам.
Решения Check Point, включая возможности IPS, помогают защититься от использования уязвимости CVE-2024-24919, а также обеспечивают защиту от вредоносного ПО ShadowPad и программ-вымогателей NailaoLocker. Комплексный подход к обеспечению безопасности остается жизненно важным в продолжающейся борьбе с этими возросшими киберугрозами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



