Cybersicherheitsforscher von Arctic Wolf haben gerade eine groß angelegte CACTUS-Ransomware-Kampagne aufgedeckt, die kürzlich offengelegte Schwachstellen in Qlik Sense ausnutzt. Letzteres ist eine Cloud-Analyse- und Business-Intelligence-Plattform.
Dieser Angriff ist ein weiterer Fall, bei dem Bedrohungsakteure Qlik Sense-Schwachstellen für den Erstzugriff ausgenutzt haben, Einführung einer neuen Ebene der Raffinesse bei Ransomware-Taktiken.
Ausnutzung von Qlik Sense-Schwachstellen
Die Kampagne, Antworten auf “mehrere Instanzen” der Ausbeutung, Es wird angenommen, dass es drei in den vergangenen drei Monaten offengelegte Schwachstellen zum Ziel hat:
- CVE-2023-41265 (CVSS-Score: 9.9): Ein HTTP-Request-Tunneling-Fehler, der es entfernten Angreifern ermöglicht, Berechtigungen zu erhöhen und Anfragen auf dem Backend-Server auszuführen.
- CVE-2023-41266 (CVSS-Score: 6.5): Eine Path-Traversal-Schwachstelle, die es nicht authentifizierten Remote-Angreifern ermöglicht, HTTP-Anfragen an nicht autorisierte Endpunkte zu senden.
- CVE-2023-48365 (CVSS-Score: 9.9): Ein Fehler bei der nicht authentifizierten Remotecodeausführung, der auf eine unsachgemäße Validierung von HTTP-Headern zurückzuführen ist.
Vor allem, CVE-2023-48365 stammt aus einem unvollständigen Patch für CVE-2023-41265. Bei den Angriffen werden diese Schwachstellen ausgenutzt, Missbrauch des Qlik Sense Scheduler-Dienstes, und anschließend den Einsatz einer Reihe zusätzlicher Tools, um Persistenz herzustellen und Fernsteuerung zu erlangen.
Werkzeuge der Ausbeutung
Die Bedrohungsakteure nutzen den Qlik Sense Scheduler-Dienst, um Tools wie ManageEngine Unified Endpoint Management and Security herunterzuladen (UEMS), AnyDesk, und Plink. Schockierend, Zu den beobachteten Aktionen gehört die Deinstallation der Sophos-Software, Ändern der Passwörter des Administratorkontos, und Erstellen von RDP-Tunneln über Plink. Die schändlichen Angriffsketten gipfeln in der Bereitstellung der CACTUS-Ransomware, begleitet von der Datenexfiltration mithilfe von rclone.
Trotz staatlicher Bemühungen zur Bekämpfung von Ransomware, die Ransomware-as-a-Service (RAAS) Geschäftsmodell bleibt widerstandsfähig. Der Bericht wirft Licht auf die Ransomware-Gruppe Black Basta, Schätzung illegaler Gewinne übersteigt $107 Millionen an Bitcoin-Lösegeldzahlungen. Faszinierend, Die Forschung von Elliptic deckt Verbindungen zwischen auf Schwarze Basta und die inzwischen nicht mehr existierende Conti-Gruppe, sowie QakBot, Dies deutet auf ein komplexes Geflecht cyberkrimineller Verbindungen hin.
Je näher wir dem Abschluss von kommen 2023, Es zeigt sich, dass dieses Jahr beispiellose Maßstäbe bei Ransomware-Angriffen gesetzt hat. Allein die ersten sechs Monate erlebten etwas Bemerkenswertes 49% Anstieg öffentlich bekannt gegebener Angriffe, gegenübergestellt mit der entsprechenden Periode in 2022. Mit anderen Worten, Ransomware-Angriffe in 2023 setzen sich weiterhin durch.