Cactus Fidye Yazılımı Qlik kodu yürütme güvenlik açığından yararlanıyor


İlk erişim için Qlik Sense’e yönelik kod yürütme güvenlik açığında yeni bir Cactus Ransomware’den yararlanıldı.

Qlik Sense, çeşitli kaynaklardan gelen verileri görselleştirmenize ve analiz etmenize olanak tanıyan bir veri keşif ve analiz platformudur. Modern bir arayüze, ilişkisel analiz motoruna ve gelişmiş yapay zekaya sahiptir.

Belge

Depolamanızı SafeGuard ile Koruyun

StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.

Kaktüs Fidye Yazılımı

Cactus, verileri şifreleyen, fidye notu (“cAcTuS.readme.txt”) sağlayan ve dosyanın sonuna fidye notu ekleyen bir fidye yazılımıdır. Dosya adlarına “CTS1” uzantısı.

(CVE-2023-41266, CVE-2023-41265) kombinasyonu veya doğrudan kötüye kullanımı yoluyla istismar ediyorlar. Articwolf tarafından bildirildi.

CVE-2023-41266 Qlik Sense Enterprise for Windows’ta yol geçişi. Şiddet aralığı yüksektir (8.2). Kimliği doğrulanmamış uzaktaki bir saldırgan, yetkisiz uç noktalara HTTP istekleri gerçekleştirmesine olanak tanıyan anonim bir oturum oluşturur.

CVE-2023-41265 Qlik Sense Enterprise for Windows’ta HTTP Tüneli güvenlik açığı, önem aralığı kritiktir (9,6). Depo uygulamasını barındıran arka uç sunucuda HTTP isteklerini yürütmelerine izin vermek.

Özellikle kod, tanımlanan tüm izinsiz girişler arasında tutarlıydı ve Qlik Sense Scheduler hizmetini (Scheduler.exe) içeriyordu ve alışılmadık işlemlere neden oluyordu.

Kaktüs Fidye Yazılımı

Tehdit aktörleri, PowerShell ve Arka Plan Akıllı Aktarım Hizmeti (BITS) aracılığıyla uzaktan kontrol ve kalıcılık sağlamak için daha fazla araç indirdi. Bu araçlar şunları içeriyordu:

  • Qlik dosyaları gibi görünen ancak ZIP uzantısına sahip ManageEngine UEMS yürütülebilir dosyaları yeniden adlandırıldı. İndirildikten ve sessiz kurulum için kullanıldıktan sonra bu dosyalar başka bir yeniden adlandırmaya tabi tutuldu.
  • AnyDesk doğrudan anydesk.com’dan indirildi
  • İndirilen ve putty.exe olarak yeniden adlandırılan bir Plink (PuTTY Link) ikili dosyası

Ayrıca tehdit aktörleri şunları gözlemledi:

  • Sophos’u GUID’i aracılığıyla kaldırmak için msiexec kullanın
  • Yönetici hesabı parolasını değiştirme
  • Plink aracılığıyla bir RDP tüneli kurun

Bu aktörlerin kanıtları şunları içerir:

  • Yanal hareket için RDP kullanıldı
  • İndirilen WizTree disk alanı analizörü
  • Veri sızdırma için yararlanılan rclone (svchost.exe olarak yeniden adlandırıldı)

Mevcut olduğunda daha fazla teknik veri sağlanacaktır ancak olay müdahale (IR) araştırması halen devam etmektedir.

14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.



Source link