Güvenlik araştırmacıları, dosyaları parola korumalı arşivlerde kilitleyen RAR1Ransom aracı da dahil olmak üzere çeşitli kötü amaçlı yazılımlar sunmak için VMware Workspace One Access’teki kritik bir güvenlik açığından yararlanan kötü amaçlı kampanyaları gözlemledi.
Saldırılarda kullanılan sorun, sunucu tarafı şablon enjeksiyonu yoluyla tetiklenen bir uzaktan kod yürütme hatası olan CVE-2022-22954’tür.
Siber güvenlik şirketi Fortinet’teki araştırmacılar, en yeni kampanyalarda tehdit aktörlerinin dağıtılmış hizmet reddi (DDoS) saldırıları için Mira botnet’i, GuardMiner kripto para madencisini ve RAR1Ransom aracını kullandığını fark ettiler.
VMware, kusur açıklandığında güvenlik güncellemeleri yayınladı 6 Nisan’da. Kavram kanıtı (PoC) istismarları bir kez kamuya açıkürün hızla tehdit aktörleri için bir hedef haline geldi.
Açıklamadan sonraki iki hafta içinde, BleepingComputer, CVE-2022-22954’ün APT35, nam-ı diğer Rocket Kitten tarafından aktif olarak kullanıldığını bildirdi. arka kapı güvenlik açığı sunucuları.
Mayıs ayında, AT&T Alien Labs’tan bir rapor, kusurun hedeflenen hatalar listesine eklendiği konusunda uyardı. Düşman Botu.
Yeni kampanyalar
Ağustos’tan başlayarak, Fortinet testere hedeflenen veri hırsızlığı girişimlerinden kripto madencilerine, dosya dolaplarına ve bir Mirai varyantından DDoS’a geçiş yapan saldırılarda bir değişiklik.
İlginç bir durum, Linux ve Windows sistemlerini hedefleyen bir çift Bash ve PowerShell betiğidir. Komut dosyaları, güvenliği ihlal edilmiş makinede başlatılacak dosyaların bir listesini getirir.
PowerShell betiği (“init.ps1”) aşağıdaki dosyaları bir Cloudflare IPFS ağ geçidinden indirir:
- phpupdate.exe: Xmrig Monero madencilik yazılımı
- config.json: Madencilik havuzları için yapılandırma dosyası
- networkmanager.exe: Enfeksiyonu taramak ve yaymak için kullanılan yürütülebilir dosya
- phpguard.exe: Koruyucu Xmrig madencisinin çalışmaya devam etmesi için kullanılan yürütülebilir dosya
- clean.bat: Güvenliği ihlal edilmiş ana bilgisayardaki diğer kripto madencilerini kaldırmak için komut dosyası
- encrypt.exe: RAR1 fidye yazılımı
Cloudflare kaynağı herhangi bir nedenle kullanılamıyorsa, kötü amaçlı yazılım “crustwebsites” adresinde bir yedekleme bağlantısı kullanır.[.]ağ”.
RAR1Fidye saldırısı
RAR1Ransom, kurbanın dosyalarını sıkıştırmak ve bir parola ile kilitlemek için WinRAR’ı kötüye kullanan basit bir fidye yazılımı aracıdır.
RAR1Ransom bunu, çoğu fidye yazılımı türü gibi belirli bir dosya türleri listesine yapar ve sonunda “rar1” uzantısını ekler.
Sonunda, kötü amaçlı yazılım, sağlanan bir cüzdan adresine 2 XMR ödenmesini talep eden bir fidye notu bırakır ve bu, bugün yaklaşık 140 ABD dolarına tekabül eder.
Şifreleme olmamasına rağmen, dosyalar geçerli bir parola olmadan hala kullanılamaz.
Yerel madencilik ve yayılma
Fortinet’e göre tehdit aktörü, GuardMiner kullanarak güvenliği ihlal edilmiş Windows veya Linux ana bilgisayarlarında kripto para madenciliği yapmak için fidye notundaki aynı Monero adresini kullanıyor.
Fortinet, GuardMiner hakkında ilk kez bilgi verdi 2020’debunu ilk erişim için güvenlik açıklarından yararlanabilen, PowerShell komutlarını çalıştırabilen ve zamanlanmış görevler ve yeni hesaplar ekleyerek kalıcılık oluşturabilen tam teşekküllü bir truva atı olarak tanımlıyor.
Son saldırılarda kullanılan varyantta GuardMiner, güvenlik testi yapan bir GitHub deposundan açıkları alıp kullanarak “networkmanager.exe” modülü aracılığıyla diğer ana bilgisayarlara yayılabilir.
VMware birkaç ay önce CVE-2022-22954 için bir düzeltme yayınlamış olsa da, Fortinet’in raporu birçok sistemin savunmasız kalmaya devam ettiğini gösteriyor.
RAR1Ransom’un dahil edilmesi şirketleri veri kaybı riskine maruz bırakırken, tehlikeler artık sınırlı ölçekli hedefli saldırılardan tüm kötü amaçlı yazılım setlerini kullanan büyük ölçekli enfeksiyonlara kaymıştır.