CACTUS Ransomware wykorzystuje luki w zabezpieczeniach
Wykryto niedawną kampanię oprogramowania ransomware CACTUS wykorzystującą nowo ujawnione luki w zabezpieczeniach Qlik Sense, platformy do analityki w chmurze i analizy biznesowej. Badacze z Arctic Wolf, w tym Stefan Hostetler, Markus Neis i Kyle Pagelow, zidentyfikowali ten przypadek jako pierwszy udokumentowany przypadek, w którym cyberprzestępcy korzystający z oprogramowania ransomware CACTUS wykorzystali luki w zabezpieczeniach Qlik Sense w celu uzyskania początkowego dostępu.
Luki wykorzystywane przez CACTUS
Firma zajmująca się cyberbezpieczeństwem, reagując na liczne przypadki wykorzystania, podkreśliła trzy luki ujawnione w ciągu ostatnich trzech miesięcy:
CVE-2023-41265 (wynik CVSS: 9,9) — luka w zabezpieczeniach związana z tunelowaniem żądań HTTP umożliwiająca zdalnemu atakującemu podniesienie uprawnień i wykonywanie żądań na serwerze zaplecza hostującym aplikację repozytorium.
CVE-2023-41266 (wynik CVSS: 6,5) — luka w zabezpieczeniach umożliwiająca nieuwierzytelnionemu zdalnemu atakującemu wysyłanie nieautoryzowanych żądań HTTP do określonych punktów końcowych.
CVE-2023-48365 (wynik CVSS: 9,9) — luka w zabezpieczeniach umożliwiająca nieuwierzytelnione zdalne wykonanie kodu wynikająca z nieprawidłowej weryfikacji nagłówków HTTP, umożliwiająca atakującym podniesienie uprawnień poprzez tunelowanie żądań HTTP.
Warto zauważyć, że CVE-2023-48365 wynika z niekompletnej łatki dla CVE-2023-41265, obie ujawnione przez firmę Praetorian pod koniec sierpnia 2023 r. Poprawka dla CVE-2023-48365 została wydana 20 września 2023 r.
Obserwacje Arctic Wolf wskazują, że udane wykorzystanie tych luk prowadzi do manipulacji usługą Qlik Sense Scheduler. Służy do uruchamiania procesów pobierających dodatkowe narzędzia w celu zapewnienia trwałości i umożliwienia zdalnej kontroli.
Narzędzia te obejmują ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk i Plink. Zaobserwowano również, że ugrupowania zagrażające odinstalowują oprogramowanie Sophos, zmieniają hasło do konta administratora i tworzą tunel RDP za pośrednictwem Plink.
Sekwencja ataku kończy się wdrożeniem oprogramowania ransomware CACTUS, a osoby atakujące wykorzystują rclone do wydobywania danych.