CACTUS Ransomware Abuses sårbarheter
En nyligen genomförd CACTUS ransomware-kampanj har upptäckts som utnyttjar nyligen avslöjade sårbarheter i Qlik Sense, en molnanalys- och business intelligence-plattform. Forskare från Arctic Wolf, inklusive Stefan Hostetler, Markus Neis och Kyle Pagelow, har identifierat detta som det första dokumenterade fallet där hotaktörer som använder CACTUS ransomware har utnyttjat sårbarheter i Qlik Sense för initial åtkomst.
Sårbarheter som utnyttjas av CACTUS
Cybersäkerhetsföretaget, som svarade på flera fall av utnyttjande, lyfte fram tre sårbarheter som avslöjats under de senaste tre månaderna:
CVE-2023-41265 (CVSS-poäng: 9,9) - En HTTP Request Tunneling-sårbarhet som gör att en fjärrangripare kan höja privilegier och utföra förfrågningar på backend-servern som är värd för förvarsapplikationen.
CVE-2023-41266 (CVSS-poäng: 6,5) - En sårbarhet för genomgång av vägar som gör det möjligt för en oautentiserad fjärrangripare att skicka obehöriga HTTP-förfrågningar till specifika slutpunkter.
CVE-2023-48365 (CVSS-poäng: 9,9) - En sårbarhet för oautentiserad fjärrkörning av kod som är ett resultat av felaktig validering av HTTP-huvuden, vilket gör det möjligt för angripare att höja privilegier genom att tunnla HTTP-förfrågningar.
Anmärkningsvärt är att CVE-2023-48365 härrör från en ofullständig patch för CVE-2023-41265, båda avslöjades av Praetorian i slutet av augusti 2023. En fix för CVE-2023-48365 släpptes den 20 september 2023.
Arctic Wolfs observationer indikerar att framgångsrikt utnyttjande av dessa brister leder till manipulation av tjänsten Qlik Sense Scheduler. Detta används för att skapa processer som laddar ner ytterligare verktyg, som syftar till att etablera uthållighet och möjliggöra fjärrkontroll.
Dessa verktyg inkluderar ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk och Plink. Hotaktörer har också observerats när de avinstallerar Sophos-programvaran, ändrar lösenordet för administratörskontot och skapar en RDP-tunnel via Plink.
Attacksekvensen avslutas med utplaceringen av CACTUS ransomware, med angripare som använder rclone för dataexfiltrering.