Güvenlik araştırmacıları, vmware çalışma alanında kritik bir güvenlik açığından yararlanan kötü amaçlı kampanyalar gözlemledi, şifre korumalı arşivlerde dosyaları kilitleyen RAR1Ransom aracı da dahil olmak üzere çeşitli kötü amaçlı yazılımlar sunmak için bir erişim.
Saldırılardan yararlanan sorun, sunucu tarafı şablon enjeksiyonu yoluyla tetiklenen bir uzaktan kod yürütme hatası olan CVE-2022-22954'tür.
Siber güvenlik şirketindeki araştırmacılar Fortinet, en yeni kampanyalarda, tehdit aktörlerinin Mira Botnet'i dağıtılmış Hizmet Reddi (DDOS) saldırıları, GuardMiner Cryptocurrency madencisi ve RAR1Ransom Aracı için konuşlandırdığını fark etti.
VMware Güvenlik Güncellemeleri Kusur 6 Nisan'da açıklandığında. Kavram kanıtı (POC) istismarları herkese açık hale geldiğinde, ürün hızla tehdit aktörleri için bir hedef haline geldi.
Açıklamadan itibaren iki hafta içinde, BleepingComputer, CVE-2022-22954'ün APT35, yani Roket Kitten tarafından Backdoor Hasarsız sunuculara aktif olarak sömürülmesini bildirdi.
Mayıs ayında, AT&T Alien Labs'tan bir rapor, düşmanbot tarafından hedeflenen böcekler listesine eklenen kusur hakkında uyardı.
Ağustos ayından itibaren Fortinet, bir Mirai varyantından kayıt yapan kriptominerlere, dosya kilitleyicilerine ve DDO'lara hedeflenen veri açma girişimlerinden geçen saldırılarda bir değişiklik gördü.
İlginç bir durum, Linux ve Windows sistemlerini hedefleyen bir çift Bash ve PowerShell komut dosyasıdır. Komut dosyaları, tehlikeye atılan makinede başlatılacak bir dosya listesi getirir.
PowerShell betiği ("init.ps1") bir Cloudflare IPFS ağ geçidinden aşağıdaki dosyaları indirir:
CloudFlare kaynağı herhangi bir nedenle kullanılamıyorsa, kötü amaçlı yazılım "Crustwebsites [.] Net" de bir yedekleme bağlantısı kullanır.
RAR1Ransom, Winrar'ı kurbanın dosyalarını sıkıştırması ve bir şifre ile kilitlemesi için kötüye kullanan basit bir fidye yazılımı aracıdır.
RAR1Ransom bunu çoğu fidye yazılımı suşu gibi belirli bir dosya türü listesine yapar ve sonunda "RAR1" uzantısını ekler.
Sonunda, kötü amaçlı yazılım, bugün yaklaşık 140 $ 'a karşılık gelen sağlanan bir cüzdan adresine 2 XMR ödenmesini talep eden bir fidye notu bırakır.
Şifreleme olmamasına rağmen, dosyalar geçerli bir şifre olmadan hala kullanılamıyor.
Fortinet'e göre, tehdit oyuncusu fidye notunda aynı Monero adresini, GuardMiner kullanarak tehlikeye atılan Windows veya Linux ana bilgisayarlarında benim kripto para birimine kullanıyor.
Fortinet ilk olarak 2020'de GuardMiner hakkında rapor verdi ve onu ilk erişim için güvenlik açıklarından yararlanabilen, PowerShell komutlarını çalıştırabilecek ve planlanmış görevler ve yeni hesaplar ekleyerek kalıcılık oluşturabilen tam teşekküllü bir Truva atı olarak tanımladı.
Son saldırılarda kullanılan varyantta, GuardMiner, bir güvenlik testi GitHub deposundan istismarlar getirerek ve kullanarak "NetworkManager.exe" modülü aracılığıyla diğer ana bilgisayarlara yayılabilir.
VMware, birkaç ay önce CVE-2022-22954 için bir düzeltme yayınlasa da, Fortinet'in raporu birçok sistemin savunmasız kaldığını gösteriyor.
Tehlikeler, tüm kötü amaçlı yazılım setlerini kullanarak sınırlı ölçekli hedeflenen saldırılardan büyük ölçekli enfeksiyonlara geçerken, RAR1Ransom'un dahil edilmesi şirketleri veri kaybı riskine maruz bırakıyor.
Apache Commons Metin RCE Kusur - Sakin Olun ve Yama Uzak
Kritik VM2 Koşusu, saldırganların kum havuzunun dışında kod çalıştırmasına izin verir
Zimbra İşbirliği Süitinde Satılmamış RCE Bug'dan yararlanan bilgisayar korsanları
Moobot Botnet, Patched D-Link yönlendiriciniz için geliyor
Zyxel, kritik RCE güvenlik açığını düzeltmek için yeni NAS ürün yazılımı yayınladı
Kaynak: Bleeping Computer