CACTUS 勒索软件滥用漏洞

最近检测到 CACTUS 勒索软件活动利用了云分析和商业智能平台 Qlik Sense 中新发现的漏洞。 Arctic Wolf 的研究人员（包括 Stefan Hostetler、Markus Neis 和 Kyle Pagelow）发现，这是第一个有记录的案例，其中使用 CACTUS 勒索软件的威胁行为者利用 Qlik Sense 中的漏洞进行初始访问。

CACTUS利用的漏洞

该网络安全公司在回应多起利用事件时，强调了过去三个月披露的三个漏洞：

CVE-2023-41265（CVSS 评分：9.9） - HTTP 请求隧道漏洞，允许远程攻击者提升权限并在托管存储库应用程序的后端服务器上执行请求。

CVE-2023-41266（CVSS 评分：6.5） - 路径遍历漏洞，使未经身份验证的远程攻击者能够向特定端点发送未经授权的 HTTP 请求。

CVE-2023-48365（CVSS 评分：9.9）- 由于 HTTP 标头验证不当而导致的未经身份验证的远程代码执行漏洞，使攻击者能够通过隧道传输 HTTP 请求来提升权限。

值得注意的是，CVE-2023-48365 源于 CVE-2023-41265 的不完整补丁，这两个补丁均由 Praetorian 于 2023 年 8 月下旬披露。CVE-2023-48365 的修复程序已于 2023 年 9 月 20 日发布。

Arctic Wolf 的观察表明，成功利用这些缺陷会导致对 Qlik Sense Scheduler 服务的操纵。这用于生成下载附加工具的进程，旨在建立持久性并启用远程控制。

这些工具包括 ManageEngine 统一端点管理和安全 (UEMS)、AnyDesk 和 Plink。我们还观察到威胁参与者卸载 Sophos 软件、更改管理员帐户密码以及通过 Plink 创建 RDP 隧道。

攻击序列以部署 CACTUS 勒索软件结束，攻击者利用 rclone 进行数据泄露。