Cactus fidye yazılımı, kurumsal ağlara ilk erişim sağlamak için Qlik Sense veri analizi çözümündeki kritik güvenlik açıklarından yararlanıyor.
Qlik Sense, birden fazla veri kaynağını destekler ve kullanıcıların karar verme süreçlerinde hizmet verebilecek özel veri raporları veya etkileşimli görselleştirmeler oluşturmasına olanak tanır. Ürün hem lokal olarak hem de bulutta çalışabilmektedir.
Ağustos ayı sonlarında satıcı, platformun Windows sürümünü etkileyen iki kritik güvenlik açığına yönelik güvenlik güncellemeleri yayınladı. CVE-2023-41266 olarak izlenen bir yol geçiş hatası olan güvenlik açıklarından biri, anonim oturumlar oluşturmak ve yetkisiz uç noktalara HTTP istekleri gerçekleştirmek için kullanılabilir.
CVE-2023-41265 olarak takip edilen ve kritik önem derecesi 9,8 olan ikinci sorun, kimlik doğrulama gerektirmiyor ve uygulamayı barındıran arka uç sunucuda ayrıcalıkları yükseltmek ve HTTP isteklerini yürütmek için kullanılabilir.
20 Eylül’de Qlik, yeni bir güncelleme sağlandığında CVE-2023-41265 düzeltmesinin yetersiz olduğunu keşfetti ve sorunu CVE-2023-48365 olarak tanımlanan ayrı bir güvenlik açığı olarak izledi.
Yakın tarihli bir raporda, siber güvenlik şirketi Arctic Wolf, Cactus fidye yazılımının, kamuya açık ve yama yapılmamış Qlik Sense örneklerinde bu kusurlardan aktif olarak yararlandığı konusunda uyarıyor.
Cactus fidye yazılımı kampanyası
Arctic Wolf’un gözlemlediği Cactus fidye yazılımı saldırıları, Qlik Sense Scheduler hizmetinin yeni işlemler başlatmasına neden olan kodu yürütmek için güvenlik sorunlarından yararlanıyor.
Saldırganlar, kalıcılık sağlayan ve makineye uzaktan erişim sağlayan araçları indirmek için PowerShell ve Arka Plan Akıllı Aktarım Hizmeti’ni (BITS) kullanıyor:
- Qlik dosyaları olarak gizlenen ManageEngine UEMS yürütülebilir dosyaları
- AnyDesk doğrudan resmi web sitesinden getirildi
- Bir Plink (PuTTY Link) ikili programı “putty.exe” olarak yeniden adlandırıldı
Ayrıca saldırganlar, çıktının .TTF dosyalarına yönlendirildiği birden fazla keşif komutunu çalıştırıyor; Artic Wolf araştırmacıları bunun, yol geçişi yoluyla komut çıktısı elde etmek için olduğuna inanıyor.
Tehdit aktörü ayrıca gizli kalmak ve bilgi toplamak için Sophos antivirüsünü kaldırmak, yönetici şifresini değiştirmek ve Plink komut satırı bağlantı aracını kullanarak bir RDP tüneli oluşturmak gibi çeşitli yöntemlere de başvurdu.
Saldırının son aşamasında bilgisayar korsanları, ihlal edilen sistemlere Cactus fidye yazılımını yerleştirdi.
Arctic Wolf’un analistleri tarafından toplanan ek kanıtlar, tehdit aktörlerinin yana doğru hareket etmek için RDP’yi, disk alanını analiz etmek için WizTree’yi ve veri sızdırmak için rclone’u (“svchost.exe” olarak gizlenmiş) kullandığını gösteriyor.
Bu araçların ve tekniklerin kullanımı, araştırmacıların önceki Cactus fidye yazılımı saldırılarında gözlemlediği şeylerle tutarlıdır.
İhlal risklerini azaltmak için Qlik, Sense Enterprise for Windows’un aşağıdaki sürümlerine yükseltme yapmanızı önerir:
- Ağustos 2023 Yama 2
- Mayıs 2023 Yama 6
- Şubat 2023 Yaması 10
- Kasım 2022 Yaması 12
- Ağustos 2022 Yaması 14
- Mayıs 2022 Yama 16
- Şubat 2022 Yaması 15
- Kasım 2021 Yaması 17
Cactus fidye yazılımı bu yılın Mart ayında ortaya çıktı ve çifte şantaj taktiğini benimseyerek kurbanlardan verileri çaldı ve ardından bu verileri ele geçirilen sistemlerde şifreledi. Geçmişteki saldırılarda, ilk ağ erişimi için Fortinet VPN kusurlarından yararlandılar.
Kroll’daki araştırmacılar Mayıs ayındaki bir raporda, kötü amaçlı yazılım ikilisinin güvenlik ürünleri tarafından tespit edilmesini önlemek için şifreleme kullanılması nedeniyle fidye yazılımı operasyonunu farklı kıldı.
Araştırmacılar ayrıca AnyDesk uzak masaüstü uygulamasının, çalınan verileri bulut depolama hizmetlerine göndermek için rclone aracının ve güvenlik ürünlerini kaldırmak için toplu komut dosyalarının kullanımının altını çizdi.