「Black Basta」ハッカーは、VMware、Citrix VPN、およびFortinetファイアウォールの脆弱性を悪用してルートアクセスを取得しました。
この攻撃は、Windows Server 2003向けJuniperファイアウォールのゼロデイ脆弱性を利用して実行されました。
攻撃者はまた、Jenkinsセキュリティモジュールの脆弱性を利用して、ファイアウォールからユーザーの認証情報とパスワードを抽出しました。
この脆弱性は、Fortinel、Citrix、Palo Altoを含むエンタープライズファイアウォールシステムに対する他の複数の攻撃でも発見されています。
注目すべき点として、Black Bastaはマスターキーロガー、スニファーボット、コマンド実行システム(IPS)サーバーであり、SSHトンネリングインフラストラクチャなどのリモートコード実行ツールを介してボットトラフィックを許可します。
コメント