FortiGuard Labs’teki araştırmacılar, etkilenen makinelerde kripto para birimi madencileri ve fidye yazılımları dağıtmak için VMware güvenlik açığını hedefleyen birden fazla kötü amaçlı yazılım kampanyasını fark ettiler.
Kritik güvenlik açığı, sunucu tarafı şablon enjeksiyonuna neden olan bir uzaktan kod yürütme güvenlik açığı olan CVE-2022-22954 (CVSS puanı: 9.8) olarak izlenir. VMware bu güvenlik açığını düzeltti, ancak vahşi ortamda aktif olarak istismar edildi.
Saldırgan, VMware Workspace ONE Access and Identity Manager’da bir yük enjekte etmek ve uzaktan kod yürütülmesini sağlamak için güvenlik açığını tetikleyebilir.
Fortinet FortiGuard Labs, “Yüklerin çoğu, bir kurbanın parolalar, ana bilgisayar dosyaları vb. gibi hassas verilerini araştırmaya odaklanır.
“Linux çalıştıran açıkta kalan ağ cihazlarını hedefleyen Mirai’yi, şifrelemeyi dağıtmak için meşru WinRAR’dan yararlanan RAR1ransom’u ve Monero’yu “mayınlamak” için kullanılan bir xmrig çeşidi olan GuardMiner’ı dağıtma niyetindeydiler.
Araştırmacılar, bu varyantın işinin DoS dağıtmak ve çoğu Mirai botnet’i gibi bir kaba kuvvet saldırısı başlatmak olduğunu söylüyor.
RAR1Ransom ve GuardMiner Saldırısı
Raporlar, RAR1Ransom ve GuardMiner dağıtımının, işletim sistemine bağlı olarak bir PowerShell veya bir kabuk komut dosyası aracılığıyla gerçekleştirildiğini söylüyor.
RAR1ransom, parola korumalı arşivlerdeki dosyaları kilitlemek için meşru WinRAR yardımcı programından yararlanma konusunda öne çıkmaktadır.
PowerShell betiği, aşağıdaki dosyaları bir Cloudflare IPFS ağ geçidinden indirir:
- phpupdate.exe: Xmrig Monero madencilik yazılımı
- yapılandırma.json: Madencilik havuzları için yapılandırma dosyası
- ağ yöneticisi.exe: Enfeksiyonu taramak ve yaymak için kullanılan yürütülebilir dosya
- phpguard.exe: Koruyucu Xmrig madencisinin çalışmaya devam etmesi için kullanılan yürütülebilir dosya
- temiz.bat: Güvenliği ihlal edilmiş ana bilgisayardaki diğer kripto madencilerini kaldırmak için komut dosyası
- şifrelemek.exe: RAR1 fidye yazılımı
RAR1Ransom, kurbanın dosyalarını sıkıştırmak ve bir parola ile kilitlemek için WinRAR’ı kötüye kullanan bir fidye yazılımı aracıdır. GuardMiner, 2020’den beri aktif olan bir çapraz platform madencilik Truva atıdır.
RAR1Ransom, belirli uzantılara sahip, güvenliği ihlal edilmiş bir kurbanın dosyasını hedefler.
Fortinet FortiGuard Labs, “Saldırganın kurbanın kaynaklarını mümkün olduğu kadar kullanma niyetinde olduğunu söyleyebiliriz, sadece gasp için RAR1Ransom’u kurmakla kalmayıp aynı zamanda GuardMiner’ı kripto para toplamak için yaymak için de kullanabilir”, Fortinet FortiGuard Labs
Bu nedenle, kullanıcıların sistemlerini güncel tutmaları ve yamaları ile ortamdaki şüpheli işlemlerden haberdar olmaları önerilir.
Rapor, “Bu Mirai varyantları, RAR1Ransom ve GuardMiner son derece karmaşık örnekler değiller, ancak yöntemleri her zaman değişiyor ve gelişiyor”, diyor rapor.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin