CACTUS ransomware misbrukssårbarheter
En nylig CACTUS-ransomware-kampanje har blitt oppdaget som utnytter nylig avslørte sårbarheter i Qlik Sense, en skyanalyse- og business intelligence-plattform. Forskere fra Arctic Wolf, inkludert Stefan Hostetler, Markus Neis og Kyle Pagelow, har identifisert dette som det første dokumenterte tilfellet der trusselaktører som bruker CACTUS løsepengevare har utnyttet sårbarheter i Qlik Sense for førstegangstilgang.
Sårbarheter utnyttet av CACTUS
Nettsikkerhetsfirmaet, som reagerte på flere tilfeller av utnyttelse, fremhevet tre sårbarheter som ble avslørt i løpet av de siste tre månedene:
CVE-2023-41265 (CVSS-poengsum: 9,9) - En HTTP Request Tunneling-sårbarhet som lar en ekstern angriper heve privilegier og utføre forespørsler på backend-serveren som er vert for depotapplikasjonen.
CVE-2023-41266 (CVSS-poengsum: 6,5) - Et sikkerhetsproblem som gjør det mulig for en uautentisert ekstern angriper å sende uautoriserte HTTP-forespørsler til bestemte endepunkter.
CVE-2023-48365 (CVSS-score: 9,9) - Et uautentisert sikkerhetsproblem med ekstern kjøring av kode som er et resultat av feilaktig validering av HTTP-hoder, som gjør det mulig for angripere å heve privilegier gjennom tunnelering av HTTP-forespørsler.
Spesielt kommer CVE-2023-48365 fra en ufullstendig oppdatering for CVE-2023-41265, begge avslørt av Praetorian i slutten av august 2023. En rettelse for CVE-2023-48365 ble utgitt 20. september 2023.
Arctic Wolfs observasjoner indikerer at vellykket utnyttelse av disse feilene fører til manipulering av Qlik Sense Scheduler-tjenesten. Dette brukes til å skape prosesser som laster ned tilleggsverktøy, med sikte på å etablere utholdenhet og aktivere fjernkontroll.
Disse verktøyene inkluderer ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk og Plink. Trusselaktører har også blitt observert som avinstallerer Sophos-programvare, endrer administratorkontopassordet og oppretter en RDP-tunnel via Plink.
Angrepssekvensen avsluttes med distribusjon av CACTUS løsepengevare, med angripere som bruker rclone for dataeksfiltrering.