Уязвимости бизнес-платформы позволяют повысить привилегии и незаметно заразить системы.
ИБ-компания Arctic Wolf обнаружила вымогательскую кампанию группировки CACTUS, эксплуатирующую недавно обнаруженные уязвимости в платформе бизнес-аналитики Qlik Sense для проникновения в целевые среды. Кампания знаменует собой первый задокументированный случай, когда злоумышленники, развернувшие программу-вымогатель CACTUS, использовали уязвимости в Qlik Sense для первоначального доступа.
Компания Arctic Wolf, которая реагирует на «несколько случаев» эксплуатации Qlik Sense, отметила, что в атаках, вероятно, используются 3 уязвимости, которые были обнаружены за последние 3 месяца:
Стоит отметить, что CVE-2023-48365 является результатом неполного исправления для CVE-2023-41265, который вместе с CVE-2023-41266 был раскрыт Praetorian в конце августа 2023 года. Исправление CVE-2023-48365 было выпущено 20 сентября 2023 г.
В атаках, наблюдаемых Arctic Wolf, после успешной эксплуатации недостатков следует злоупотребление сервисом Qlik Sense Scheduler для запуска процессов, предназначенных для загрузки дополнительных инструментов с целью установления постоянства и настройки удаленного управления. Сюда входят ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink.
Также было замечено, что киберпреступники удаляли программное обеспечение Sophos, меняли пароль учетной записи администратора и создавали RDP-туннель через Plink. Цепочки атак завершаются внедрением программы-вымогателя CACTUS, при этом злоумышленники также используют rclone для кражи данных.
Ранее группа CACTUS проникала в сети жертв через уязвимости в VPN-оборудовании Fortinet, предварительно шифруя свой файл, чтобы избежать обнаружения. Вымогатели требуют от своих жертв миллионы долларов за расшифровку данных, а также угрожают слить всё в открытый доступ.
Что отличает CACTUS от других операций , так это использование шифрования для защиты двоичного файла программы-вымогателя. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip. Исходный ZIP-архив затем удаляется, а двоичный файл развертывается с определенным флагом, который позволяет ему выполняться. Специалисты полагают, что это делается для предотвращения обнаружения шифровальщика-вымогателя.
Никаких овечек — только отборные научные факты