安全研究人员观察到恶意活动利用 VMware Workspace One Access 中的一个关键漏洞来传播各种恶意软件,包括将文件锁定在受密码保护的档案中的 RAR1Ransom 工具。
攻击中利用的问题是 CVE-2022-22954,这是一个通过服务器端模板注入触发的远程代码执行错误。
网络安全公司 Fortinet 的研究人员在最新的活动中注意到,威胁参与者部署了 Mira 僵尸网络进行分布式拒绝服务 (DDoS) 攻击、GuardMiner 加密货币矿工和 RAR1Ransom 工具。
当漏洞在 4 月 6 日被披露时,VMware 发布了安全更新。一旦概念证明 (PoC) 漏洞利用公开可用,该产品很快成为威胁参与者的目标。
在披露后的两周内,BleepingComputer 报告了 APT35(又名 Rocket Kitten)主动利用 CVE-2022-22954 攻击后门易受攻击的服务器。
5 月,AT&T Alien Labs 的一份报告警告称,该漏洞已被添加到EnemyBot所针对的错误列表中。
新广告系列
从 8 月开始,Fortinet 看到 了攻击的变化,从有针对性的数据泄露尝试到加密矿工、文件柜和从 Mirai 变体中招募的 DDoS。
一个有趣的案例是一对针对 Linux 和 Windows 系统的 Bash 和 PowerShell 脚本。这些脚本获取要在受感染机器上启动的文件列表。
PowerShell 脚本(“init.ps1”)从 Cloudflare IPFS 网关下载以下文件:
- phpupdate.exe:Xmrig 门罗币挖矿软件
- config.json:矿池配置文件
- networkmanager.exe:用于扫描和传播感染的可执行文件
- phpguard.exe:用于守护 Xmrig 矿工保持运行的可执行文件
- clean.bat:删除受感染主机上其他加密矿工的脚本文件
- encrypt.exe:RAR1 勒索软件
如果 Cloudflare 资源因任何原因不可用,恶意软件会使用“crustwebsites[.]net”上的备份链接。
RAR1勒索攻击
RAR1Ransom 是一个简单的勒索软件工具,它滥用 WinRAR 来压缩受害者的文件并用密码锁定它们。
RAR1Ransom 对特定的文件类型列表执行此操作,就像大多数勒索软件菌株一样,并最终附加“rar1”扩展名。
最终,该恶意软件丢下一张赎金票据,要求向提供的钱包地址支付 2 XMR,如今该地址约为 140 美元。
尽管没有加密,但如果没有有效的密码,这些文件仍然不可用。
本地挖矿和传播
据 Fortinet 称,攻击者使用勒索信中的相同门罗币地址,使用 GuardMiner 在受感染的 Windows 或 Linux 主机上挖掘加密货币。
Fortinet于 2020 年首次报道 GuardMiner ,将其描述为成熟的木马,可利用漏洞进行初始访问、运行 PowerShell 命令并通过添加计划任务和新帐户来建立持久性。
在最近的攻击中使用的变种中,GuardMiner 可以通过“networkmanager.exe”模块通过从安全测试 GitHub 存储库中获取和使用漏洞来传播到其他主机。
尽管 VMware 几个月前发布了针对 CVE-2022-22954 的修复程序,但 Fortinet 的报告表明许多系统仍然存在漏洞。
现在,危险已经从有限规模的有针对性的攻击转移到使用整个恶意软件集的大规模感染,而 RAR1Ransom 的包含使公司面临数据丢失的风险。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客利用关键的VMware漏洞释放勒索软件、矿工
