A CACTUS Ransomware sérülékenységeket használ
A közelmúltban egy CACTUS ransomware kampányt észleltek, amely a Qlik Sense felhőelemző és üzleti intelligencia platform újonnan feltárt sebezhetőségeit használja ki. Az Arctic Wolf kutatói, köztük Stefan Hostetler, Markus Neis és Kyle Pagelow, ezt az első olyan dokumentált esetként azonosították, amikor a CACTUS ransomware-t használó fenyegetés szereplői a Qlik Sense sebezhetőségeit kihasználták a kezdeti hozzáféréshez.
A CACTUS által kihasznált sebezhetőségek
A kiberbiztonsági cég a többszörös kizsákmányolásra reagálva az elmúlt három hónap során feltárt három sebezhetőséget emelte ki:
CVE-2023-41265 (CVSS pontszám: 9,9) – HTTP Request Tunneling biztonsági rése, amely lehetővé teszi a távoli támadók számára, hogy jogosultságokat emeljenek és kéréseket hajtsanak végre a lerakatalkalmazást kiszolgáló háttérkiszolgálón.
CVE-2023-41266 (CVSS pontszám: 6,5) – Útvonal bejárási biztonsági rés, amely lehetővé teszi a hitelesítés nélküli távoli támadók számára, hogy jogosulatlan HTTP-kéréseket küldjenek meghatározott végpontokhoz.
CVE-2023-48365 (CVSS-pontszám: 9,9) – A HTTP-fejlécek helytelen érvényesítéséből eredő, hitelesítés nélküli távoli kódfuttatást lehetővé tévő biztonsági rés, amely lehetővé teszi a támadók számára, hogy a HTTP-kérések alagútkezelésén keresztül jogosultságokat emeljenek.
Nevezetesen, a CVE-2023-48365 a CVE-2023-41265 hiányos javításából ered, mindkettőt Praetorian 2023 augusztusának végén tette közzé. A CVE-2023-48365 javítást 2023. szeptember 20-án adták ki.
Az Arctic Wolf megfigyelései azt mutatják, hogy e hibák sikeres kihasználása a Qlik Sense Scheduler szolgáltatás manipulálásához vezet. Ez olyan folyamatok létrehozására szolgál, amelyek további eszközöket töltenek le, amelyek célja a tartósság megteremtése és a távvezérlés lehetővé tétele.
Ezek az eszközök közé tartozik a ManageEngine Unified Endpoint Management and Security (UEMS), az AnyDesk és a Plink. Azt is megfigyelték, hogy fenyegető szereplők eltávolították a Sophos szoftvert, megváltoztatták a rendszergazdai fiók jelszavát, és létrehoztak egy RDP alagutat a Plink segítségével.
A támadássorozat a CACTUS ransomware telepítésével zárul, a támadók pedig rclone-t alkalmaznak az adatok kiszűrésére.