Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Новая атака CACTUS: ошибки Qlik Sense используются для захвата корпоративных систем

01/12/23

hack45-Dec-01-2023-10-16-25-2693-AM

ИБ-компания Arctic Wolf обнаружила вымогательскую кампанию группировки CACTUS, эксплуатирующую недавно обнаруженные уязвимости в платформе бизнес-аналитики Qlik Sense для проникновения в целевые среды. Кампания знаменует собой первый задокументированный случай, когда злоумышленники, развернувшие программу-вымогатель CACTUS, использовали уязвимости в Qlik Sense для первоначального доступа, пишет Securitylab.

Компания Arctic Wolf, которая реагирует на «несколько случаев» эксплуатации Qlik Sense, отметила, что в атаках, вероятно, используются 3 уязвимости, которые были обнаружены за последние 3 месяца:

  • CVE-2023-41265 (CVSS: 9,9) — уязвимость туннелирования HTTP-запросов (HTTP Request Tunneling), позволяющая удаленному злоумышленнику повысить свои привилегии и отправлять запросы, которые выполняются внутренним сервером, где размещено приложение-репозиторий.
  • CVE-2023-41266 (CVSS: 6,5) — уязвимость обхода пути (Path Traversal), которая позволяет неаутентифицированному удаленному злоумышленнику отправлять HTTP-запросы к неавторизованным конечным точкам;
  • CVE-2023-48365 (CVSS: 9,9) — уязвимость удаленного выполнения кода (Remote Code Execution, RCE) без проверки подлинности, возникающая из-за неправильной проверки заголовков HTTP, позволяющая удаленному злоумышленнику повысить свои привилегии путем туннелирования HTTP-запросов.

Стоит отметить, что CVE-2023-48365 является результатом неполного исправления для CVE-2023-41265, который вместе с CVE-2023-41266 был раскрыт Praetorian в конце августа 2023 года. Исправление CVE-2023-48365 было выпущено 20 сентября 2023 г.

В атаках, наблюдаемых Arctic Wolf, после успешной эксплуатации недостатков следует злоупотребление сервисом Qlik Sense Scheduler для запуска процессов, предназначенных для загрузки дополнительных инструментов с целью установления постоянства и настройки удаленного управления. Сюда входят ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink.

Также было замечено, что киберпреступники удаляли программное обеспечение Sophos, меняли пароль учетной записи администратора и создавали RDP-туннель через Plink. Цепочки атак завершаются внедрением программы-вымогателя CACTUS, при этом злоумышленники также используют rclone для кражи данных.

Ранее группа CACTUS проникала в сети жертв через уязвимости в VPN-оборудовании Fortinet, предварительно шифруя свой файл, чтобы избежать обнаружения. Вымогатели требуют от своих жертв миллионы долларов за расшифровку данных, а также угрожают слить всё в открытый доступ.

Что отличает CACTUS от других операций , так это использование шифрования для защиты двоичного файла программы-вымогателя. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip. Исходный ZIP-архив затем удаляется, а двоичный файл развертывается с определенным флагом, который позволяет ему выполняться. Специалисты полагают, что это делается для предотвращения обнаружения шифровальщика-вымогателя.

Темы:УгрозышифровальщикиArctic Wolf
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...