CACTUS ランサムウェアが脆弱性を悪用

最近の CACTUS ランサムウェア キャンペーンが、クラウド分析およびビジネス インテリジェンス プラットフォームである Qlik Sense の新たに明らかになった脆弱性を悪用していることが検出されました。 Stefan Hostetler、Markus Neis、Kyle Pagelow を含む Arctic Wolf の研究者は、これを、CACTUS ランサムウェアを使用する攻撃者が初期アクセスに Qlik Sense の脆弱性を利用した最初の文書化された事例であると特定しました。

CACTUS によって悪用された脆弱性

サイバーセキュリティ企業は、複数の悪用事例に対応し、過去 3 か月間に明らかになった 3 つの脆弱性を強調しました。

CVE-2023-41265 (CVSS スコア: 9.9) - HTTP リクエスト トンネリングの脆弱性により、リモート攻撃者が権限を昇格し、リポジトリ アプリケーションをホストしているバックエンド サーバー上でリクエストを実行することが可能になります。

CVE-2023-41266 (CVSS スコア: 6.5) - パス トラバーサルの脆弱性により、認証されていないリモート攻撃者が特定のエンドポイントに不正な HTTP リクエストを送信できるようになります。

CVE-2023-48365 (CVSS スコア: 9.9) - HTTP ヘッダーの不適切な検証に起因する、認証されていないリモート コード実行の脆弱性。これにより、攻撃者が HTTP リクエストのトンネリングを通じて特権を昇格できるようになります。

特に、CVE-2023-48365 は、CVE-2023-41265 の不完全なパッチに由来しており、どちらも 2023 年 8 月下旬に Praetorian によって公開されました。CVE-2023-48365 の修正は、2023 年 9 月 20 日にリリースされました。

Arctic Wolf の観察によれば、これらの欠陥の悪用に成功すると、Qlik Sense Scheduler サービスの操作につながることがわかりました。これは、永続性を確立してリモート制御を可能にすることを目的として、追加のツールをダウンロードするプロセスを生成するために使用されます。

これらのツールには、ManageEngine Unified Endpoint Management and Security (UEMS)、AnyDesk、および Plink が含まれます。脅威アクターがソフォス ソフトウェアをアンインストールし、管理者アカウントのパスワードを変更し、Plink 経由で RDP トンネルを作成することも観察されています。

一連の攻撃は CACTUS ランサムウェアの展開で終わり、攻撃者は rclone を使ってデータを引き出します。