Qlik Sense の欠陥を悪用する CACTUS ランサムウェア

Arctic Wolf のサイバーセキュリティ研究者は、最近明らかになった Qlik Sense の脆弱性を悪用した大規模な CACTUS ランサムウェア キャンペーンを発見しました。. 後者はクラウド分析とビジネス インテリジェンスのプラットフォームです.

この攻撃は、攻撃者が初期アクセスに Qlik Sense の欠陥を利用した別の例です。, ランサムウェア戦術に洗練された新たな層を導入.

---

Qlik Senseの脆弱性の悪用

キャンペーン, への対応 “いくつかの例” 搾取の, 過去 3 か月間に公開された 3 つの脆弱性をターゲットにしていると考えられています:

• CVE-2023-41265 (CVSSスコア: 9.9): HTTP リクエスト トンネリングの欠陥により、リモート攻撃者が特権を昇格させ、バックエンド サーバー上でリクエストを実行できるようになります。.
• CVE-2023-41266 (CVSSスコア: 6.5): パス トラバーサルの脆弱性により、認証されていないリモート攻撃者が HTTP リクエストを未承認のエンドポイントに送信できるようになります。.
• CVE-2023-48365 (CVSSスコア: 9.9): HTTP ヘッダーの不適切な検証に起因する、認証されていないリモート コード実行の欠陥.

特に, CVE-2023-48365 は、CVE-2023-41265 の不完全なパッチに起因します。. 攻撃にはこれらの脆弱性の悪用が含まれます, Qlik Sense Scheduler サービスの悪用, その後、永続性を確立してリモート制御を取得するために、さまざまな追加ツールをデプロイします。.

悪用のツール

攻撃者は Qlik Sense Scheduler サービスを利用して、ManageEngine Unified Endpoint Management and Security などのツールをダウンロードします。 (UEMS), AnyDesk, とプリンク. ゾッとするほど, 観察されたアクションには、ソフォス ソフトウェアのアンインストールが含まれます, 管理者アカウントのパスワードを変更する, Plink 経由で RDP トンネルを作成する. 極悪非道な攻撃チェーンは CACTUS ランサムウェアの展開で最高潮に達します, rclone を使用したデータ抽出を伴う.

ランサムウェアと戦うための政府の取り組みにもかかわらず, サービスとしてのランサムウェア (RaaS) ビジネスモデルは回復力を維持. このレポートは、Black Basta ランサムウェア グループに光を当てています。, を超える違法な利益を見積もる $107 ビットコイン身代金の支払い額100万ドル. 興味深いことに, Elliptic の研究により、次の関係が明らかになりました。 ブラックバスタ そして今はなき コンティグループ, QakBotと同様に, サイバー犯罪とのつながりが複雑に絡み合っている可能性がある.

---

結論に近づくにつれ、 2023, 今年はランサムウェア攻撃において前例のないベンチマークが確立されたことが明らかになりました. 最初の 6 か月間だけでも驚くべき成果が得られました 49% 公表された攻撃の急増, の対応する期間と並べて表示 2022. 言い換えると, でのランサムウェア攻撃 2023 勝ち続ける.