Cybersecurity-onderzoekers bij Arctic Wolf hebben zojuist een grootschalige CACTUS-ransomwarecampagne ontdekt die misbruik maakt van onlangs onthulde kwetsbaarheden in Qlik Sense. Dit laatste is een cloudanalyse- en business intelligence-platform.
Deze aanval is opnieuw een voorbeeld waarbij bedreigingsactoren Qlik Sense-fouten hebben gebruikt voor initiële toegang, de introductie van een nieuwe laag van verfijning in de ransomware-tactieken.
Het misbruiken van Qlik Sense-kwetsbaarheden
De campagne, reageren op “meerdere exemplaren” van uitbuiting, Er wordt aangenomen dat het zich richt op drie kwetsbaarheden die in de afgelopen drie maanden zijn onthuld:
- CVE-2023-41265 (CVSS-score: 9.9): Een HTTP Request Tunneling-fout waardoor aanvallers op afstand hun bevoegdheden kunnen verhogen en verzoeken op de backend-server kunnen uitvoeren.
- CVE-2023-41266 (CVSS-score: 6.5): Een kwetsbaarheid bij het doorlopen van paden waardoor niet-geverifieerde externe aanvallers HTTP-verzoeken naar ongeautoriseerde eindpunten kunnen sturen.
- CVE-2023-48365 (CVSS-score: 9.9): Een niet-geverifieerde fout bij het uitvoeren van externe code die voortkomt uit onjuiste validatie van HTTP-headers.
Opmerkelijk, CVE-2023-48365 komt voort uit een onvolledige patch voor CVE-2023-41265. Bij de aanvallen wordt misbruik gemaakt van deze kwetsbaarheden, misbruik maken van de Qlik Sense Scheduler-service, en vervolgens een reeks aanvullende hulpmiddelen inzetten om doorzettingsvermogen te bewerkstelligen en controle op afstand te verkrijgen.
Hulpmiddelen voor uitbuiting
De bedreigingsactoren maken gebruik van de Qlik Sense Scheduler-service om tools zoals ManageEngine Unified Endpoint Management en Security te downloaden (UEMS), AnyDesk, en Plink. Schokkend, waargenomen acties omvatten het verwijderen van Sophos-software, wachtwoorden van beheerdersaccounts wijzigen, en het creëren van RDP-tunnels via Plink. De snode aanvalsketens culmineren in de inzet van CACTUS-ransomware, vergezeld van data-exfiltratie met behulp van rclone.
Ondanks overheidsinspanningen om ransomware te bestrijden, de ransomware-as-a-service (RAAS) Het bedrijfsmodel blijft veerkrachtig. Het rapport werpt licht op de Black Basta-ransomwaregroep, het schatten van illegale winsten hoger dan $107 miljoen aan Bitcoin-losgeldbetalingen. Intrigerend, Het onderzoek van Elliptic legt verbanden bloot tussen Zwarte Basta en de inmiddels ter ziele gegane Conti-groep, evenals QakBot, Dit impliceert een complex web van cybercriminele banden.
Naarmate we dichter bij de conclusie komen van 2023, het wordt duidelijk dat dit jaar ongekende benchmarks zijn neergezet op het gebied van ransomware-aanvallen. Alleen al in de eerste zes maanden was er iets opmerkelijks 49% toename van openbaar gemaakte aanvallen, naast de overeenkomstige periode in 2022. Met andere woorden, ransomware-aanvallen in 2023 blijven de boventoon voeren.