CACTUS Ransomware κατάχρηση ευπάθειας
Εντοπίστηκε μια πρόσφατη καμπάνια ransomware CACTUS που εκμεταλλεύεται νέα τρωτά σημεία που αποκαλύφθηκαν στο Qlik Sense, μια πλατφόρμα ανάλυσης cloud και επιχειρηματικής ευφυΐας. Ερευνητές από την Arctic Wolf, συμπεριλαμβανομένων των Stefan Hostetler, Markus Neis και Kyle Pagelow, αναγνώρισαν ότι αυτή είναι η πρώτη τεκμηριωμένη περίπτωση όπου οι παράγοντες απειλών που χρησιμοποιούν ransomware CACTUS έχουν εκμεταλλευτεί ευπάθειες στο Qlik Sense για αρχική πρόσβαση.
Τρωτά σημεία που εκμεταλλεύεται το CACTUS
Η εταιρεία κυβερνοασφάλειας, ανταποκρινόμενη σε πολλαπλές περιπτώσεις εκμετάλλευσης, τόνισε τρία τρωτά σημεία που αποκαλύφθηκαν τους τελευταίους τρεις μήνες:
CVE-2023-41265 (βαθμολογία CVSS: 9,9) - Μια ευπάθεια HTTP Request Tunneling που επιτρέπει σε έναν απομακρυσμένο εισβολέα να αυξήσει τα δικαιώματα και να εκτελεί αιτήματα στον διακομιστή υποστήριξης που φιλοξενεί την εφαρμογή αποθετηρίου.
CVE-2023-41266 (Βαθμολογία CVSS: 6,5) - Μια ευπάθεια διέλευσης διαδρομής που επιτρέπει σε έναν απομακρυσμένο εισβολέα χωρίς έλεγχο ταυτότητας να στέλνει μη εξουσιοδοτημένα αιτήματα HTTP σε συγκεκριμένα τελικά σημεία.
CVE-2023-48365 (Βαθμολογία CVSS: 9,9) - Ένα θέμα ευπάθειας εκτέλεσης απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας που προκύπτει από ακατάλληλη επικύρωση των κεφαλίδων HTTP, επιτρέποντας στους εισβολείς να αυξάνουν τα προνόμια μέσω της διοχέτευσης των αιτημάτων HTTP.
Συγκεκριμένα, το CVE-2023-48365 προέρχεται από μια ελλιπή ενημέρωση κώδικα για το CVE-2023-41265, που αποκαλύφθηκαν και τα δύο από την Praetorian στα τέλη Αυγούστου 2023. Μια ενημέρωση κώδικα για το CVE-2023-48365 κυκλοφόρησε στις 20 Σεπτεμβρίου 2023.
Οι παρατηρήσεις του Arctic Wolf δείχνουν ότι η επιτυχής εκμετάλλευση αυτών των ελαττωμάτων οδηγεί στη χειραγώγηση της υπηρεσίας Qlik Sense Scheduler. Αυτό χρησιμοποιείται για την αναπαραγωγή διεργασιών που κατεβάζουν πρόσθετα εργαλεία, με στόχο να εδραιώσουν την επιμονή και να ενεργοποιήσουν τον απομακρυσμένο έλεγχο.
Αυτά τα εργαλεία περιλαμβάνουν το ManageEngine Unified Endpoint Management and Security (UEMS), το AnyDesk και το Plink. Παρατηρήθηκαν επίσης παράγοντες απειλών κατά την απεγκατάσταση του λογισμικού Sophos, την αλλαγή του κωδικού πρόσβασης του λογαριασμού διαχειριστή και τη δημιουργία μιας σήραγγας RDP μέσω του Plink.
Η ακολουθία επιθέσεων ολοκληρώνεται με την ανάπτυξη του ransomware CACTUS, με τους εισβολείς να χρησιμοποιούν rclone για την εξαγωγή δεδομένων.