CACTUS Ransomware Abuses sårbarheter

ransomware

En nyligen genomförd CACTUS ransomware-kampanj har upptäckts som utnyttjar nyligen avslöjade sårbarheter i Qlik Sense, en molnanalys- och business intelligence-plattform. Forskare från Arctic Wolf, inklusive Stefan Hostetler, Markus Neis och Kyle Pagelow, har identifierat detta som det första dokumenterade fallet där hotaktörer som använder CACTUS ransomware har utnyttjat sårbarheter i Qlik Sense för initial åtkomst.

Sårbarheter som utnyttjas av CACTUS

Cybersäkerhetsföretaget, som svarade på flera fall av utnyttjande, lyfte fram tre sårbarheter som avslöjats under de senaste tre månaderna:

CVE-2023-41265 (CVSS-poäng: 9,9) - En HTTP Request Tunneling-sårbarhet som gör att en fjärrangripare kan höja privilegier och utföra förfrågningar på backend-servern som är värd för förvarsapplikationen.

CVE-2023-41266 (CVSS-poäng: 6,5) - En sårbarhet för genomgång av vägar som gör det möjligt för en oautentiserad fjärrangripare att skicka obehöriga HTTP-förfrågningar till specifika slutpunkter.

CVE-2023-48365 (CVSS-poäng: 9,9) - En sårbarhet för oautentiserad fjärrkörning av kod som är ett resultat av felaktig validering av HTTP-huvuden, vilket gör det möjligt för angripare att höja privilegier genom att tunnla HTTP-förfrågningar.

Anmärkningsvärt är att CVE-2023-48365 härrör från en ofullständig patch för CVE-2023-41265, båda avslöjades av Praetorian i slutet av augusti 2023. En fix för CVE-2023-48365 släpptes den 20 september 2023.

Arctic Wolfs observationer indikerar att framgångsrikt utnyttjande av dessa brister leder till manipulation av tjänsten Qlik Sense Scheduler. Detta används för att skapa processer som laddar ner ytterligare verktyg, som syftar till att etablera uthållighet och möjliggöra fjärrkontroll.

Dessa verktyg inkluderar ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk och Plink. Hotaktörer har också observerats när de avinstallerar Sophos-programvaran, ändrar lösenordet för administratörskontot och skapar en RDP-tunnel via Plink.

Attacksekvensen avslutas med utplaceringen av CACTUS ransomware, med angripare som använder rclone för dataexfiltrering.

År Zaib
December 1, 2023
Computer Security, Ransomware
Svenska
December 1, 2023
Computer Security, Ransomware

Populära inlägg

Microsoft varnar statligt stödda hotaktörer använder AI i...

5 days sedan

Trojan Al11 Detektering av skadlig programvara

11 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

7 months sedan

Pinaview är en fullfjädrad adware-app

10 months sedan

Vad är Lucky Ransomware?

7 months sedan

"American Express - Uppdatera din kontoinformation"...

6 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.