Согласно новому отчету ИБ-компании Cyfirma, в ходе кампании «Bleed You» хакеры эксплуатируют известную Remote Code Execution (RCE) — удаленное выполнение кода — опасная уязвимость, которая позволяет дистанционно запустить вредоносный код в целевой системе по локальной сети или через Интернет. При этом физический доступ к устройству не требуется.
В результате эксплуатации RCE-уязвимости киберпреступник может перехватить управление системой или ее отдельными компонентами, а также украсть конфиденциальные данные.
» data-html=»true» data-original-title=»RCE»>RCE — уязвимость в расширениях протокола Windows Internet Key Exchange (IKE). Под угрозой взлома более 1000 уязвимых систем.
Критическая уязвимость CVE-2022-34721 (CVSS: 9.8) активно используется в атаках с сентября, затрагивая уязвимые версии ОС Windows, Windows Server, а также протокол и службы Windows. Исследователи заметили, что после компрометации злоумышленники развертывают программы-вымогатели и другое вредоносное ПО. Кроме того, эксперты заметили, что что неизвестные хакеры делятся ссылкой на эксплойт на подпольных форумах.
Затронутые версии Windows:
По словам Cyfirma, киберпреступники говорят на мандаринском диалекте китайского языка, но также предположительно имеют связи с российскими хакерами. Эксперты также добавляют, что атаки не ограничиваются конкретным сектором, а направлены на розничную торговлю, правительство, IT-услуги и т. д. Жертвами кампании являются Канада, Великобритания и США.
«Злоумышленники активно используют уязвимые машины Windows Server через модули ключей IKE и AuthIP IPsec, экспортируя эту ошибку. Пользователям рекомендуется как можно скорее установить патчи и исправления, чтобы снизить риск», — сообщили исследователи Cyfirma.