在安装 AnyDesk 和 ScreenConnect 等远程桌面软件的网络攻击活动中，恶意攻击者正在利用一个已修补的影响 Fortinet FortiClient EMS 的重要安全漏洞。

该漏洞是CVE-2023-48788（CVSS评分：9.3），是一个SQL注入漏洞，允许攻击者通过发送特制数据包执行未经授权的代码或命令。

俄罗斯网络安全公司卡巴斯基（Kaspersky）称，2024 年 10 月的这次攻击针对的是一家未具名公司的 Windows 服务器，该服务器暴露在互联网上，并且有两个与 FortiClient EMS 相关的开放端口。

该公司在周四的一份分析报告中说：“目标公司采用了这项技术，允许员工将特定策略下载到他们的公司设备上，使他们能够安全地访问 Fortinet VPN。”

对该事件的进一步分析发现，威胁行为者利用 CVE-2023-48788 作为初始访问载体，随后投放 ScreenConnect 可执行文件，以获取对受攻击主机的远程访问权限。

卡巴斯基说：“在初始安装之后，攻击者开始向被入侵系统上传额外的有效载荷，以开始发现和横向移动活动，如枚举网络资源、试图获取凭证、执行防御规避技术，以及通过 AnyDesk 远程控制工具生成更多类型的持久性。”

下面列出了在攻击过程中投放的其他一些值得注意的工具–Webbrowserpassview.exe。

• webbrowserpassview.exe，这是一款密码恢复工具，可揭示存储在 Internet Explorer（4.0 – 11.0 版）、Mozilla Firefox（所有版本）、谷歌浏览器、Safari 和 Opera 中的密码。
• Mimikatz
• netpass64.exe，密码恢复工具
• netscan.exe，网络扫描器

据信，幕后的威胁分子利用不同的 ScreenConnect 子域名（如 infinity.screenconnect[.]com），将巴西、克罗地亚、法国、印度、印度尼西亚、蒙古、纳米比亚、秘鲁、西班牙、瑞士、土耳其和阿联酋的多家公司作为攻击目标。

卡巴斯基说，它在 2024 年 10 月 23 日检测到了将 CVE-2023-48788 武器化的进一步尝试，这次是在扫描易受该漏洞影响的系统时，执行托管在 webhook[.]site 域上的 PowerShell 脚本，以 “收集来自易受攻击目标的响应”。

网络安全公司 Forescout 在八个多月前发现了一个类似的活动，利用 CVE-2023-48788 发送 ScreenConnect 和 Metasploit Powerfun 有效载荷。

研究人员说：“对这一事件的分析帮助我们确定，攻击者目前用于部署远程访问工具的技术在不断更新，复杂性也在不断增加。”