Cybersikkerhedsforskere hos Arctic Wolf har netop afsløret en storstilet CACTUS ransomware-kampagne, der udnytter nyligt afslørede sårbarheder i Qlik Sense. Sidstnævnte er en cloud-analyse- og business intelligence-platform.
Dette angreb er endnu et tilfælde, hvor trusselsaktører har brugt Qlik Sense-fejl til indledende adgang, introducerer et nyt lag af sofistikering til ransomware-taktik.
Udnyttelse af Qlik Sense-sårbarheder
Kampagnen, reagere på “flere tilfælde” af udnyttelse, menes at være rettet mod tre sårbarheder, der er afsløret i de seneste tre måneder:
- CVE-2023-41265 (CVSS-score: 9.9): En HTTP Request Tunneling-fejl, der tillader fjernangribere at øge privilegier og udføre anmodninger på backend-serveren.
- CVE-2023-41266 (CVSS-score: 6.5): En stigennemløbssårbarhed, der gør det muligt for uautoriserede fjernangribere at sende HTTP-anmodninger til uautoriserede slutpunkter.
- CVE-2023-48365 (CVSS-score: 9.9): En uautoriseret fjernudførelsesfejl, der skyldes forkert validering af HTTP-headere.
Især, CVE-2023-48365 stammer fra en ufuldstændig patch til CVE-2023-41265. Angrebene involverer udnyttelse af disse sårbarheder, misbruger Qlik Sense Scheduler-tjenesten, og efterfølgende implementering af en række yderligere værktøjer til at etablere vedholdenhed og få fjernstyring.
Værktøjer til udnyttelse
Trusselsaktørerne udnytter Qlik Sense Scheduler-tjenesten til at downloade værktøjer såsom ManageEngine Unified Endpoint Management og Security (UEMS), AnyDesk, og Plink. Chokerende nok, observerede handlinger omfatter afinstallation af Sophos-software, ændring af adgangskoder til administratorkonto, og skabe RDP-tunneler via Plink. De uhyggelige angrebskæder kulminerer i implementeringen af CACTUS ransomware, ledsaget af dataeksfiltrering ved hjælp af rclone.
På trods af regeringens bestræbelser på at bekæmpe ransomware, ransomware-as-a-service (Raas) forretningsmodellen forbliver robust. Rapporten kaster lys over Black Basta ransomware-gruppen, estimering af ulovlig fortjeneste overstiger $107 million i Bitcoin løsesum. Spændende, Elliptics forskning afdækker bånd mellem Sort Basta og den nu hedengangne Konti gruppe, samt QakBot, implicerer et komplekst net af cyberkriminelle tilhørsforhold.
Efterhånden som vi kommer tættere på konklusionen af 2023, det bliver tydeligt, at dette år har etableret hidtil usete benchmarks i ransomware-angreb. Alene de første seks måneder oplevede en bemærkelsesværdig 49% stigning i offentligt offentliggjorte angreb, sammenholdt med den tilsvarende periode i 2022. Med andre ord, ransomware-angreb i 2023 fortsætte med at sejre.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: