VMware Workspace ONE Access’te şu anda yamalı bir güvenlik açığının, etkilenen makinelerde hem kripto para birimi madencileri hem de fidye yazılımı sağlamak için kullanıldığı gözlemlendi.
Fortinet FortiGuard Labs araştırmacısı Cara Lin Perşembe günü yayınladığı bir raporda, “Saldırgan kurbanın kaynaklarını mümkün olduğunca kullanmayı, yalnızca gasp için RAR1Ransom’u kurmakla kalmayıp, aynı zamanda GuardMiner’ı kripto para toplamak için yaymayı da amaçlıyor” dedi.
CVE-2022-22954 (CVSS puanı: 9.8) olarak izlenen sorun, sunucu tarafı şablon ekleme durumundan kaynaklanan bir uzaktan kod yürütme güvenlik açığı ile ilgilidir.
Eksiklik, sanallaştırma hizmetleri sağlayıcısı tarafından Nisan 2022’de ele alınmasına rağmen, o zamandan beri vahşi ortamda aktif olarak sömürülmüştür.
Fortinet, Ağustos 2022’de, Mirai botnet’i Linux cihazlarına ve XMRig Monero madencisinin bir çeşidi olan RAR1Ransom ve GuardMiner’a dağıtmak için kusuru silahlandırmaya çalışan saldırıları gözlemlediğini söyledi.
Mirai örneği uzak bir sunucudan alınır ve varsayılan kimlik bilgilerinin bir listesini kullanarak iyi bilinen IoT cihazlarına yönelik hizmet reddi (DoS) ve kaba kuvvet saldırılarını başlatmak üzere tasarlanmıştır.
RAR1Ransom ve GuardMiner’ın dağıtımı ise işletim sistemine bağlı olarak bir PowerShell veya bir kabuk betiği aracılığıyla sağlanır. RAR1ransom, şifreleme işlemini başlatmak için meşru WinRAR yardımcı programından yararlanma açısından da dikkate değerdir.
Bulgular, kötü amaçlı yazılım kampanyalarının, yama uygulanmamış sistemlere girmek için yakın zamanda açıklanan kusurlardan aktif olarak yararlanmaya devam ettiğini ve kullanıcıların bu tür tehditleri azaltmak için gerekli güvenlik güncellemelerini uygulamaya öncelik vermesini zorunlu hale getirdiğini bir kez daha hatırlatıyor.