- 13,849
- 20
- 8 Ноя 2022
Уязвимости бизнес-платформы позволяют повысить привилегии и незаметно заразить системы.
ИБ-компания Arctic Wolf Для просмотра ссылки Войдиили Зарегистрируйся вымогательскую кампанию группировки CACTUS, эксплуатирующую недавно обнаруженные уязвимости в платформе бизнес-аналитики Qlik Sense для проникновения в целевые среды. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Кампания знаменует собой первый задокументированный случай, когда злоумышленники, развернувшие программу-вымогатель CACTUS, использовали уязвимости в Qlik Sense для первоначального доступа.</span>
Компания Arctic Wolf, которая реагирует на «несколько случаев» эксплуатации Qlik Sense, отметила, что в атаках, вероятно, используются 3 уязвимости, которые были обнаружены за последние 3 месяца:
или Зарегистрируйся Praetorian в конце августа 2023 года. Исправление CVE-2023-48365 было Для просмотра ссылки Войди или Зарегистрируйся 20 сентября 2023 г.
В атаках, наблюдаемых Arctic Wolf, после успешной эксплуатации недостатков следует злоупотребление сервисом Qlik Sense Scheduler для запуска процессов, предназначенных для загрузки дополнительных инструментов с целью установления постоянства и настройки удаленного управления. Сюда входят ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink .
Также было замечено, что киберпреступники удаляли программное обеспечение Sophos, меняли пароль учетной записи администратора и создавали RDP -туннель через Plink. Цепочки атак завершаются внедрением программы-вымогателя CACTUS, при этом злоумышленники также используют rclone для кражи данных.
Ранее группа CACTUS проникала в сети жертв через уязвимости в VPN-оборудовании Fortinet, предварительно шифруя свой файл, чтобы избежать обнаружения. Вымогатели требуют от своих жертв миллионы долларов за расшифровку данных, а также угрожают слить всё в открытый доступ.
Что Для просмотра ссылки Войдиили Зарегистрируйся , так это использование шифрования для защиты двоичного файла программы-вымогателя. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip. Исходный ZIP-архив затем удаляется, а двоичный файл развертывается с определенным флагом, который позволяет ему выполняться. Специалисты полагают, что это делается для предотвращения обнаружения шифровальщика-вымогателя.
ИБ-компания Arctic Wolf Для просмотра ссылки Войди
Компания Arctic Wolf, которая реагирует на «несколько случаев» эксплуатации Qlik Sense, отметила, что в атаках, вероятно, используются 3 уязвимости, которые были обнаружены за последние 3 месяца:
- Для просмотра ссылки Войди
или Зарегистрируйся (CVSS: 9,9) — уязвимость туннелирования HTTP-запросов ( HTTP Request Tunneling ), позволяющая удаленному злоумышленнику повысить свои привилегии и отправлять запросы, которые выполняются внутренним сервером, где размещено приложение-репозиторий. - Для просмотра ссылки Войди
или Зарегистрируйся (CVSS: 6,5) — уязвимость обхода пути ( Path Traversal ), которая позволяет неаутентифицированному удаленному злоумышленнику отправлять HTTP-запросы к неавторизованным конечным точкам; - Для просмотра ссылки Войди
или Зарегистрируйся (CVSS: 9,9) — уязвимость удаленного выполнения кода (Remote Code Execution, RCE ) без проверки подлинности, возникающая из-за неправильной проверки заголовков HTTP, позволяющая удаленному злоумышленнику повысить свои привилегии путем туннелирования HTTP-запросов.
В атаках, наблюдаемых Arctic Wolf, после успешной эксплуатации недостатков следует злоупотребление сервисом Qlik Sense Scheduler для запуска процессов, предназначенных для загрузки дополнительных инструментов с целью установления постоянства и настройки удаленного управления. Сюда входят ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink .
Также было замечено, что киберпреступники удаляли программное обеспечение Sophos, меняли пароль учетной записи администратора и создавали RDP -туннель через Plink. Цепочки атак завершаются внедрением программы-вымогателя CACTUS, при этом злоумышленники также используют rclone для кражи данных.
Ранее группа CACTUS проникала в сети жертв через уязвимости в VPN-оборудовании Fortinet, предварительно шифруя свой файл, чтобы избежать обнаружения. Вымогатели требуют от своих жертв миллионы долларов за расшифровку данных, а также угрожают слить всё в открытый доступ.
Что Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
