Cybersicherheitsforscher von Arctic Wolf haben gerade eine groß angelegte CACTUS-Ransomware-Kampagne aufgedeckt, die kürzlich offengelegte Schwachstellen in Qlik Sense ausnutzt. Letzteres ist eine Cloud-Analyse- und Business-Intelligence-Plattform.
Dieser Angriff ist ein weiterer Fall, bei dem Bedrohungsakteure Qlik Sense-Schwachstellen für den Erstzugriff ausgenutzt haben, Einführung einer neuen Ebene der Raffinesse bei Ransomware-Taktiken.
Ausnutzung von Qlik Sense-Schwachstellen
Die Kampagne, Antworten auf “mehrere Instanzen” der Ausbeutung, Es wird angenommen, dass es drei in den vergangenen drei Monaten offengelegte Schwachstellen zum Ziel hat:
- CVE-2023-41265 (CVSS-Score: 9.9): Ein HTTP-Request-Tunneling-Fehler, der es entfernten Angreifern ermöglicht, Berechtigungen zu erhöhen und Anfragen auf dem Backend-Server auszuführen.
- CVE-2023-41266 (CVSS-Score: 6.5): Eine Path-Traversal-Schwachstelle, die es nicht authentifizierten Remote-Angreifern ermöglicht, HTTP-Anfragen an nicht autorisierte Endpunkte zu senden.
- CVE-2023-48365 (CVSS-Score: 9.9): Ein Fehler bei der nicht authentifizierten Remotecodeausführung, der auf eine unsachgemäße Validierung von HTTP-Headern zurückzuführen ist.
Vor allem, CVE-2023-48365 stammt aus einem unvollständigen Patch für CVE-2023-41265. Bei den Angriffen werden diese Schwachstellen ausgenutzt, Missbrauch des Qlik Sense Scheduler-Dienstes, und anschließend den Einsatz einer Reihe zusätzlicher Tools, um Persistenz herzustellen und Fernsteuerung zu erlangen.
Werkzeuge der Ausbeutung
Die Bedrohungsakteure nutzen den Qlik Sense Scheduler-Dienst, um Tools wie ManageEngine Unified Endpoint Management and Security herunterzuladen (UEMS), AnyDesk, und Plink. Schockierend, Zu den beobachteten Aktionen gehört die Deinstallation der Sophos-Software, Ändern der Passwörter des Administratorkontos, und Erstellen von RDP-Tunneln über Plink. Die schändlichen Angriffsketten gipfeln in der Bereitstellung der CACTUS-Ransomware, begleitet von der Datenexfiltration mithilfe von rclone.
Trotz staatlicher Bemühungen zur Bekämpfung von Ransomware, die Ransomware-as-a-Service (RAAS) Geschäftsmodell bleibt widerstandsfähig. Der Bericht wirft Licht auf die Ransomware-Gruppe Black Basta, Schätzung illegaler Gewinne übersteigt $107 Millionen an Bitcoin-Lösegeldzahlungen. Faszinierend, Die Forschung von Elliptic deckt Verbindungen zwischen auf Schwarze Basta und die inzwischen nicht mehr existierende Conti-Gruppe, sowie QakBot, Dies deutet auf ein komplexes Geflecht cyberkrimineller Verbindungen hin.
Je näher wir dem Abschluss von kommen 2023, Es zeigt sich, dass dieses Jahr beispiellose Maßstäbe bei Ransomware-Angriffen gesetzt hat. Allein die ersten sechs Monate erlebten etwas Bemerkenswertes 49% Anstieg öffentlich bekannt gegebener Angriffe, gegenübergestellt mit der entsprechenden Periode in 2022. Mit anderen Worten, Ransomware-Angriffe in 2023 setzen sich weiterhin durch.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: