最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

黑客利用关键的VMware漏洞释放勒索软件、矿工

网络安全 快米云 来源:快米云 29浏览

黑客利用关键的 VMware 漏洞部署勒索软件、矿工

安全研究人员观察到恶意活动利用 VMware Workspace One Access 中的一个关键漏洞来传播各种恶意软件,包括将文件锁定在受密码保护的档案中的 RAR1Ransom 工具。

攻击中利用的问题是 CVE-2022-22954,这是一个通过服务器端模板注入触发的远程代码执行错误。

网络安全公司 Fortinet 的研究人员在最新的活动中注意到,威胁参与者部署了 Mira 僵尸网络进行分布式拒绝服务 (DDoS) 攻击、GuardMiner 加密货币矿工和 RAR1Ransom 工具。

当漏洞在 4 月 6 日被披露时,VMware 发布了安全更新。一旦概念证明 (PoC) 漏洞利用公开可用,该产品很快成为威胁参与者的目标。

在披露后的两周内,BleepingComputer 报告了 APT35(又名 Rocket Kitten)主动利用 CVE-2022-22954 攻击后门易受攻击的服务器

5 月,AT&T Alien Labs 的一份报告警告称,该漏洞已被添加到EnemyBot所针对的错误列表中。

新广告系列

从 8 月开始,Fortinet 看到 了攻击的变化,从有针对性的数据泄露尝试到加密矿工、文件柜和从 Mirai 变体中招募的 DDoS。

一个有趣的案例是一对针对 Linux 和 Windows 系统的 Bash 和 PowerShell 脚本。这些脚本获取要在受感染机器上启动的文件列表。

PowerShell 脚本(“init.ps1”)从 Cloudflare IPFS 网关下载以下文件:

  • phpupdate.exe:Xmrig 门罗币挖矿软件
  • config.json:矿池配置文件
  • networkmanager.exe:用于扫描和传播感染的可执行文件
  • phpguard.exe:用于守护 Xmrig 矿工保持运行的可执行文件
  • clean.bat:删除受感染主机上其他加密矿工的脚本文件
  • encrypt.exe:RAR1 勒索软件

如果 Cloudflare 资源因任何原因不可用,恶意软件会使用“crustwebsites[.]net”上的备份链接。

RAR1勒索攻击

RAR1Ransom 是一个简单的勒索软件工具,它滥用 WinRAR 来压缩受害者的文件并用密码锁定它们。

滥用rar.exe锁定文件
滥用“rar.exe”来锁定文件 (Fortinet)

RAR1Ransom 对特定的文件类型列表执行此操作,就像大多数勒索软件菌株一样,并最终附加“rar1”扩展名。

RAR1Ransom 针对的文件类型
RAR1Ransom (Fortinet)针对的文件类型

最终,该恶意软件丢下一张赎金票据,要求向提供的钱包地址支付 2 XMR,如今该地址约为 140 美元。

RAR1Ransom 丢弃的赎金票据
RAR1Ransom (Fortinet)丢弃的赎金票据

尽管没有加密,但如果没有有效的密码,这些文件仍然不可用。

本地挖矿和传播

据 Fortinet 称,攻击者使用勒索信中的相同门罗币地址,使用 GuardMiner 在受感染的 Windows 或 Linux 主机上挖掘加密货币。

矿工使用的门罗币矿池
矿工 (Fortinet)使用的门罗币矿池地址

Fortinet于 2020 年首次报道 GuardMiner ,将其描述为成熟的木马,可利用漏洞进行初始访问、运行 PowerShell 命令并通过添加计划任务和新帐户来建立持久性。

在最近的攻击中使用的变种中,GuardMiner 可以通过“networkmanager.exe”模块通过从安全测试 GitHub 存储库中获取和使用漏洞来传播到其他主机。

矿工用于传播的漏洞
矿工用于传播的缺陷 (Fortinet)

尽管 VMware 几个月前发布了针对 CVE-2022-22954 的修复程序,但 Fortinet 的报告表明许多系统仍然存在漏洞。

现在,危险已经从有限规模的有针对性的攻击转移到使用整个恶意软件集的大规模感染,而 RAR1Ransom 的包含使公司面临数据丢失的风险。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客利用关键的VMware漏洞释放勒索软件、矿工