عوامل مخرب احتمالاً از اکسپلویتهای PoC در دسترس عموم برای نقصهای امنیتی اخیراً افشا شده در نرمافزار Progress WhatsUp Gold جهت انجام حملات فرصتطلبانه استفاده میکنند.
گفته میشود که این فعالیت در 30 آگوست 2024، تنها ساعاتی پس از انتشار PoC برای آسیبپذیری با شناسههای CVE-2024-6670 (امتیاز CVSS: 9.8) و CVE-2024-6671 (امتیاز CVSS: 9.8) آغاز شد. هر دو آسیبپذیری حیاتی که امکان بازیابی گذرواژههای رمزگذاری شده کاربر را برای مهاجمان احراز هویت نشده فراهم میکنند، توسط Progress در اواسط آگوست 2024 وصله شدهاند.
حملات مشاهده شده توسط شرکت امنیت سایبری Trend Micro، شامل دور زدن احراز هویت WhatsUp Gold به منظور سوء استفاده از Active Monitor PowerShell Script و در نهایت دانلود ابزارهای مختلف دسترسی از راه دور برای به دست آوردن پایداری در هاست ویندوز است که شامل Atera Agent، Radmin، SimpleHelp Remote Access و Splashtop Remote است که هر دوی Atera Agent و Splashtop Remote با استفاده از یک فایل نصبکننده MSI بازیابی شده از یک سرور راه دور نصب شدهاند.
https://thehackernews.com/2024/09/progress-whatsup-gold-exploited-just.html
