Cuma, Haziran 14, 2024
Ana SayfaTeknoloji HaberleriCadının kötü amaçlı yazılımını yüklemek için kullanılan 9.8 önem derecesine sahip VMware...

Cadının kötü amaçlı yazılımını yüklemek için kullanılan 9.8 önem derecesine sahip VMware hatası

Kelime ile birler ve sıfırların görüntüsü

Güvenlik firması Fortinet’ten bir araştırmacı Perşembe günü yaptığı açıklamada, bilgisayar korsanlarının çeşitli fidye yazılımı ve kripto para birimi madencileri yüklemek için kampanyalarda VMware Workspace ONE Access’te şu anda yamalı bir güvenlik açığından yararlandığını söyledi.

CVE-2022-22954, VMware Workspace ONE Access’te olası 10 üzerinden 9,8 önem derecesine sahip bir uzaktan kod yürütme güvenlik açığıdır. VMware, 6 Nisan’da güvenlik açığını açıkladı ve yamaladı. 48 saat içinde, bilgisayar korsanları güncellemeyi tersine çevirdi ve daha sonra düzeltmeyi henüz yüklememiş olan sunucuları tehlikeye atmak için kullandıkları çalışan bir istismar geliştirdi. VMware Workspace ONE erişimi, yöneticilerin, çalışanların çalışma ortamlarında ihtiyaç duyduğu bir dizi uygulama yapılandırmasına yardımcı olur.

Ağustos ayında, Fortiguard Labs araştırmacıları, istismar girişimlerinde ani bir artış ve taktiklerde büyük bir değişiklik gördü. Bilgisayar korsanları parolaları toplayan ve diğer verileri toplayan yükleri yüklemeden önce, yeni dalgalanma başka bir şey getirdi – özellikle, GuardMiner olarak bilinen bir kripto para madenciliği olan RAR1ransom olarak bilinen fidye yazılımı ve Linux cihazlarını büyük bir botnet’te kullanmak için bir araya getiren Mirai yazılımı. dağıtılmış hizmet reddi saldırıları.

FortiGuard

Fortiguard Labs araştırmacısı Cara Lin, “CVE-2022-22954 kritik güvenlik açığı Nisan ayında zaten yamalanmış olsa da, onu kullanmaya çalışan birden fazla kötü amaçlı yazılım kampanyası var” dedi. Saldırganların bunu bir yük enjekte etmek ve ürünü çalıştıran sunucularda uzaktan kod yürütmesi sağlamak için kullandığını ekledi.

Lin’in yüklenirken gördüğü Mirai örneği http’den indirildi[:]//107[.]189[.]8[.]21/pedalcheta/tatlı[.]x86_64 ve “cnc” adresindeki bir komut ve kontrol sunucusuna güveniyordu[.]iyi paketler[.]cc. Örnek, DDoSe’lerde kullanılan önemsiz trafiği sağlamanın yanı sıra, kullandıkları yönetici şifresini tahmin ederek diğer cihazlara da bulaşmaya çalıştı. Koddaki dizelerin kodunu çözdükten sonra Lin, kötü amaçlı yazılımın kullandığı aşağıdaki kimlik bilgilerini buldu:

Hikvision

1234

pencereler

S2fGqNF’ler

kök

tsgoon

haberci

12345

varsayılan

solokey

yenituruncu88888888

misafir

çöp Kutusu

kullanıcı

yeniorang

sistem

059AnkJ

telnetyöneticisi

tlJwpbo6

iwkb

141388

123456

20150602

00000000

adapte

20080826

vstarcam2015

v2mprt

yönetici

1001çene

vhd1206

destek

HÜKÜMSÜZ

xc3511

QwestM0dem

7ujMko0admin

bbsd-istemcisi

vizxv

fidel123

dvr2580222

bölüm

hg2x0

SAMSUNG

t0talc0ntr0l4!

kablolu yayın

av 5759

epi yönlendirici

zlxx

satış noktası

bükülme

admin@mimifi

xmhdipc

icatch99

şifre

arka plan programı

netopya

3com

DOCSIS_APP

hagpolm1

klv123

OxhlwSG8

Ayrı bir kampanya gibi görünen bu durumda, saldırganlar ayrıca 67’den bir yük indirmek için CVE-2022-22954’ten yararlandı.[.]205[.]145[.]142. Yük, yedi dosya içeriyordu:

  • phpupdate.exe: Xmrig Monero madencilik yazılımı
  • config.json: Madencilik havuzları için yapılandırma dosyası
  • networkmanager.exe: Enfeksiyonu taramak ve yaymak için kullanılan yürütülebilir dosya
  • phpguard.exe: Koruyucu Xmrig madencisinin çalışmaya devam etmesi için kullanılan yürütülebilir dosya
  • init.ps1: Zamanlanmış görev oluşturarak kalıcılığı sürdürmek için komut dosyasının kendisi
  • clean.bat: Güvenliği ihlal edilmiş ana bilgisayardaki diğer kripto madencilerini kaldırmak için komut dosyası
  • encrypt.exe: RAR1 fidye yazılımı

RAR1ransom’un daha önce hiç yüklenmemiş olması durumunda, yük ilk önce encrypt.exe yürütülebilir dosyasını çalıştırır. Dosya, meşru WinRAR veri sıkıştırma yürütülebilir dosyasını geçici bir Windows klasörüne bırakır. Fidye yazılımı daha sonra kullanıcı verilerini parola korumalı dosyalara sıkıştırmak için WinRAR’ı kullanır.

Yük daha sonra GuardMiner saldırısını başlatır. GuardMiner, Monero para birimi için platformlar arası bir madencilik Truva atıdır. 2020 yılından beri aktiftir.

Saldırılar, güvenlik güncellemelerini zamanında yüklemenin önemini vurguluyor. VMware’in 6 Nisan yamasını henüz yüklememiş olan herkes bunu bir kerede yapmalıdır.

RELATED ARTICLES

Popüler Konular