Bilgisayar korsanları, Fidye Yazılımlarını ve Madencileri Düşürmek için Kritik VMware Kusurunu Kullanıyor


Hackerlar Kritik VMware Kusurunu Kullanıyor

FortiGuard Labs’teki araştırmacılar, etkilenen makinelerde kripto para birimi madencileri ve fidye yazılımları dağıtmak için VMware güvenlik açığını hedefleyen birden fazla kötü amaçlı yazılım kampanyasını fark ettiler.

Kritik güvenlik açığı, sunucu tarafı şablon enjeksiyonuna neden olan bir uzaktan kod yürütme güvenlik açığı olan CVE-2022-22954 (CVSS puanı: 9.8) olarak izlenir. VMware bu güvenlik açığını düzeltti, ancak vahşi ortamda aktif olarak istismar edildi.

Saldırgan, VMware Workspace ONE Access and Identity Manager’da bir yük enjekte etmek ve uzaktan kod yürütülmesini sağlamak için güvenlik açığını tetikleyebilir.

DÖRT

Fortinet FortiGuard Labs, “Yüklerin çoğu, bir kurbanın parolalar, ana bilgisayar dosyaları vb. gibi hassas verilerini araştırmaya odaklanır.

“Linux çalıştıran açıkta kalan ağ cihazlarını hedefleyen Mirai’yi, şifrelemeyi dağıtmak için meşru WinRAR’dan yararlanan RAR1ransom’u ve Monero’yu “mayınlamak” için kullanılan bir xmrig çeşidi olan GuardMiner’ı dağıtma niyetindeydiler.

Şekil 1 CVE-2022-22954 Etkinlik
CVE-2022-22954 Etkinlik

Araştırmacılar, bu varyantın işinin DoS dağıtmak ve çoğu Mirai botnet’i gibi bir kaba kuvvet saldırısı başlatmak olduğunu söylüyor.

RAR1Ransom ve GuardMiner Saldırısı

Raporlar, RAR1Ransom ve GuardMiner dağıtımının, işletim sistemine bağlı olarak bir PowerShell veya bir kabuk komut dosyası aracılığıyla gerçekleştirildiğini söylüyor.

RAR1ransom, parola korumalı arşivlerdeki dosyaları kilitlemek için meşru WinRAR yardımcı programından yararlanma konusunda öne çıkmaktadır.

PowerShell betiği, aşağıdaki dosyaları bir Cloudflare IPFS ağ geçidinden indirir:

  • phpupdate.exe: Xmrig Monero madencilik yazılımı
  • yapılandırma.json: Madencilik havuzları için yapılandırma dosyası
  • ağ yöneticisi.exe: Enfeksiyonu taramak ve yaymak için kullanılan yürütülebilir dosya
  • phpguard.exe: Koruyucu Xmrig madencisinin çalışmaya devam etmesi için kullanılan yürütülebilir dosya
  • temiz.bat: Güvenliği ihlal edilmiş ana bilgisayardaki diğer kripto madencilerini kaldırmak için komut dosyası
  • şifrelemek.exe: RAR1 fidye yazılımı

RAR1Ransom, kurbanın dosyalarını sıkıştırmak ve bir parola ile kilitlemek için WinRAR’ı kötüye kullanan bir fidye yazılımı aracıdır. GuardMiner, 2020’den beri aktif olan bir çapraz platform madencilik Truva atıdır.

Dosyaları kilitlemek için rar.exe'nin kötüye kullanılması
Dosyaları kilitlemek için ‘rar.exe’nin kötüye kullanılması

RAR1Ransom, belirli uzantılara sahip, güvenliği ihlal edilmiş bir kurbanın dosyasını hedefler.

Şekil 15 Hedef dosya uzantısı
Hedef dosya uzantısı
Şekil 17 Fidye notu
Fidye notu

Fortinet FortiGuard Labs, “Saldırganın kurbanın kaynaklarını mümkün olduğu kadar kullanma niyetinde olduğunu söyleyebiliriz, sadece gasp için RAR1Ransom’u kurmakla kalmayıp aynı zamanda GuardMiner’ı kripto para toplamak için yaymak için de kullanabilir”, Fortinet FortiGuard Labs

Bu nedenle, kullanıcıların sistemlerini güncel tutmaları ve yamaları ile ortamdaki şüpheli işlemlerden haberdar olmaları önerilir.

Rapor, “Bu Mirai varyantları, RAR1Ransom ve GuardMiner son derece karmaşık örnekler değiller, ancak yöntemleri her zaman değişiyor ve gelişiyor”, diyor rapor.

Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin



Source link