Новости Новая атака CACTUS: ошибки Qlik Sense используются для захвата корпоративных систем

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Уязвимости бизнес-платформы позволяют повысить привилегии и незаметно заразить системы.


r6bq78lipb218c2prwm7ujc3qsgonerc.jpg


ИБ-компания Arctic Wolf Для просмотра ссылки Войди или Зарегистрируйся вымогательскую кампанию группировки CACTUS, эксплуатирующую недавно обнаруженные уязвимости в платформе бизнес-аналитики Qlik Sense для проникновения в целевые среды. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Кампания знаменует собой первый задокументированный случай, когда злоумышленники, развернувшие программу-вымогатель CACTUS, использовали уязвимости в Qlik Sense для первоначального доступа.</span>

Компания Arctic Wolf, которая реагирует на «несколько случаев» эксплуатации Qlik Sense, отметила, что в атаках, вероятно, используются 3 уязвимости, которые были обнаружены за последние 3 месяца:

  • Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9,9) — уязвимость туннелирования HTTP-запросов ( HTTP Request Tunneling ), позволяющая удаленному злоумышленнику повысить свои привилегии и отправлять запросы, которые выполняются внутренним сервером, где размещено приложение-репозиторий.
  • Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 6,5) — уязвимость обхода пути ( Path Traversal ), которая позволяет неаутентифицированному удаленному злоумышленнику отправлять HTTP-запросы к неавторизованным конечным точкам;
  • Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9,9) — уязвимость удаленного выполнения кода (Remote Code Execution, RCE ) без проверки подлинности, возникающая из-за неправильной проверки заголовков HTTP, позволяющая удаленному злоумышленнику повысить свои привилегии путем туннелирования HTTP-запросов.
Стоит отметить, что CVE-2023-48365 является результатом неполного исправления для CVE-2023-41265, который вместе с CVE-2023-41266 был Для просмотра ссылки Войди или Зарегистрируйся Praetorian в конце августа 2023 года. Исправление CVE-2023-48365 было Для просмотра ссылки Войди или Зарегистрируйся 20 сентября 2023 г.

В атаках, наблюдаемых Arctic Wolf, после успешной эксплуатации недостатков следует злоупотребление сервисом Qlik Sense Scheduler для запуска процессов, предназначенных для загрузки дополнительных инструментов с целью установления постоянства и настройки удаленного управления. Сюда входят ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink .

Также было замечено, что киберпреступники удаляли программное обеспечение Sophos, меняли пароль учетной записи администратора и создавали RDP -туннель через Plink. Цепочки атак завершаются внедрением программы-вымогателя CACTUS, при этом злоумышленники также используют rclone для кражи данных.

Ранее группа CACTUS проникала в сети жертв через уязвимости в VPN-оборудовании Fortinet, предварительно шифруя свой файл, чтобы избежать обнаружения. Вымогатели требуют от своих жертв миллионы долларов за расшифровку данных, а также угрожают слить всё в открытый доступ.

Что Для просмотра ссылки Войди или Зарегистрируйся , так это использование шифрования для защиты двоичного файла программы-вымогателя. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip. Исходный ZIP-архив затем удаляется, а двоичный файл развертывается с определенным флагом, который позволяет ему выполняться. Специалисты полагают, что это делается для предотвращения обнаружения шифровальщика-вымогателя.
 
Источник новости
www.securitylab.ru

Похожие темы