CACTUS 勒索軟體濫用漏洞
最近偵測到 CACTUS 勒索軟體活動利用了雲端分析和商業智慧平台 Qlik Sense 中新發現的漏洞。 Arctic Wolf 的研究人員(包括 Stefan Hostetler、Markus Neis 和 Kyle Pagelow)發現,這是第一個有記錄的案例,其中使用 CACTUS 勒索軟體的威脅行為者利用 Qlik Sense 中的漏洞進行初步存取。
CACTUS利用的漏洞
該網路安全公司在回應多起利用事件時,強調了過去三個月披露的三個漏洞:
CVE-2023-41265(CVSS 評分:9.9) - HTTP 請求隧道漏洞,允許遠端攻擊者提升權限並在託管儲存庫應用程式的後端伺服器上執行請求。
CVE-2023-41266(CVSS 評分:6.5) - 路徑遍歷漏洞,使未經驗證的遠端攻擊者能夠向特定端點發送未經授權的 HTTP 請求。
CVE-2023-48365(CVSS 評分:9.9)- 由於 HTTP 標頭驗證不當而導致的未經身份驗證的遠端程式碼執行漏洞,使攻擊者能夠透過隧道傳輸 HTTP 請求來提升權限。
值得注意的是,CVE-2023-48365 源自於CVE-2023-41265 的不完整補丁,這兩個補丁均由Praetorian 於2023 年8 月下旬披露。CVE-2023-48365 的修復程序已於2023 年9月20 日發售。
Arctic Wolf 的觀察結果表明,成功利用這些缺陷會導致對 Qlik Sense Scheduler 服務的操縱。這用於產生下載附加工具的進程,旨在建立持久性並啟用遠端控制。
這些工具包括 ManageEngine 統一端點管理和安全性 (UEMS)、AnyDesk 和 Plink。我們還觀察到威脅參與者卸載 Sophos 軟體、更改管理員帳戶密碼以及透過 Plink 建立 RDP 隧道。
攻擊序列以部署 CACTUS 勒索軟體結束,攻擊者利用 rclone 進行資料外洩。
