Программа-вымогатель CACTUS злоупотребляет уязвимостями
Недавняя кампания по вымогательству CACTUS была обнаружена с использованием недавно обнаруженных уязвимостей в Qlik Sense, платформе облачной аналитики и бизнес-аналитики. Исследователи из Arctic Wolf, в том числе Стефан Хостетлер, Маркус Нейс и Кайл Пейджлоу, определили это как первый задокументированный случай, когда злоумышленники, использующие программу-вымогатель CACTUS, использовали уязвимости в Qlik Sense для первоначального доступа.
Уязвимости, используемые CACTUS
Фирма по кибербезопасности, реагируя на многочисленные случаи эксплуатации, выделила три уязвимости, обнаруженные за последние три месяца:
CVE-2023-41265 (оценка CVSS: 9,9) — уязвимость туннелирования HTTP-запросов, позволяющая удаленному злоумышленнику повысить привилегии и выполнить запросы на внутреннем сервере, на котором размещено приложение-репозиторий.
CVE-2023-41266 (оценка CVSS: 6,5) — уязвимость обхода пути, позволяющая неаутентифицированному удаленному злоумышленнику отправлять неавторизованные HTTP-запросы к определенным конечным точкам.
CVE-2023-48365 (оценка CVSS: 9,9) — уязвимость удаленного выполнения кода без проверки подлинности, возникающая в результате неправильной проверки заголовков HTTP, позволяющая злоумышленникам повысить привилегии посредством туннелирования HTTP-запросов.
Примечательно, что CVE-2023-48365 является результатом неполного патча для CVE-2023-41265, оба из которых были раскрыты Praetorian в конце августа 2023 года. Исправление для CVE-2023-48365 было выпущено 20 сентября 2023 года.
Наблюдения Arctic Wolf показывают, что успешная эксплуатация этих недостатков приводит к манипулированию сервисом Qlik Sense Scheduler. Это используется для запуска процессов, которые загружают дополнительные инструменты с целью обеспечить постоянство и включить удаленное управление.
Эти инструменты включают ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink. Также было замечено, что злоумышленники удаляли программное обеспечение Sophos, меняли пароль учетной записи администратора и создавали RDP-туннель через Plink.
Последовательность атак завершается внедрением программы-вымогателя CACTUS, при этом злоумышленники используют rclone для кражи данных.