
Güvenlik firması Fortinet’ten bir araştırmacı Perşembe günü yaptığı açıklamada, bilgisayar korsanlarının çeşitli fidye yazılımı ve kripto para birimi madencileri yüklemek için kampanyalarda VMware Workspace ONE Access’te şu anda yamalı bir güvenlik açığından yararlandığını söyledi.
CVE-2022-22954, VMware Workspace ONE Access’te olası 10 üzerinden 9,8 önem derecesine sahip bir uzaktan kod yürütme güvenlik açığıdır. VMware, 6 Nisan’da güvenlik açığını açıkladı ve yamaladı. 48 saat içinde, bilgisayar korsanları güncellemeyi tersine çevirdi ve daha sonra düzeltmeyi henüz yüklememiş olan sunucuları tehlikeye atmak için kullandıkları çalışan bir istismar geliştirdi. VMware Workspace ONE erişimi, yöneticilerin, çalışanların çalışma ortamlarında ihtiyaç duyduğu bir dizi uygulama yapılandırmasına yardımcı olur.
Ağustos ayında, Fortiguard Labs araştırmacıları, istismar girişimlerinde ani bir artış ve taktiklerde büyük bir değişiklik gördü. Bilgisayar korsanları parolaları toplayan ve diğer verileri toplayan yükleri yüklemeden önce, yeni dalgalanma başka bir şey getirdi – özellikle, GuardMiner olarak bilinen bir kripto para madenciliği olan RAR1ransom olarak bilinen fidye yazılımı ve Linux cihazlarını büyük bir botnet’te kullanmak için bir araya getiren Mirai yazılımı. dağıtılmış hizmet reddi saldırıları.

FortiGuard
Fortiguard Labs araştırmacısı Cara Lin, “CVE-2022-22954 kritik güvenlik açığı Nisan ayında zaten yamalanmış olsa da, onu kullanmaya çalışan birden fazla kötü amaçlı yazılım kampanyası var” dedi. Saldırganların bunu bir yük enjekte etmek ve ürünü çalıştıran sunucularda uzaktan kod yürütmesi sağlamak için kullandığını ekledi.
Lin’in yüklenirken gördüğü Mirai örneği http’den indirildi[:]//107[.]189[.]8[.]21/pedalcheta/tatlı[.]x86_64 ve “cnc” adresindeki bir komut ve kontrol sunucusuna güveniyordu[.]iyi paketler[.]cc. Örnek, DDoSe’lerde kullanılan önemsiz trafiği sağlamanın yanı sıra, kullandıkları yönetici şifresini tahmin ederek diğer cihazlara da bulaşmaya çalıştı. Koddaki dizelerin kodunu çözdükten sonra Lin, kötü amaçlı yazılımın kullandığı aşağıdaki kimlik bilgilerini buldu:
Hikvision |
1234 |
pencereler |
S2fGqNF’ler |
kök |
tsgoon |
haberci |
12345 |
varsayılan |
solokey |
yenituruncu88888888 |
misafir |
çöp Kutusu |
kullanıcı |
yeniorang |
sistem |
059AnkJ |
telnetyöneticisi |
tlJwpbo6 |
iwkb |
141388 |
123456 |
20150602 |
00000000 |
adapte |
20080826 |
vstarcam2015 |
v2mprt |
yönetici |
1001çene |
vhd1206 |
destek |
HÜKÜMSÜZ |
xc3511 |
QwestM0dem |
7ujMko0admin |
bbsd-istemcisi |
vizxv |
fidel123 |
dvr2580222 |
bölüm |
hg2x0 |
SAMSUNG |
t0talc0ntr0l4! |
kablolu yayın |
av 5759 |
epi yönlendirici |
zlxx |
satış noktası |
bükülme |
admin@mimifi |
xmhdipc |
icatch99 |
şifre |
arka plan programı |
netopya |
3com |
DOCSIS_APP |
hagpolm1 |
klv123 |
OxhlwSG8 |
Ayrı bir kampanya gibi görünen bu durumda, saldırganlar ayrıca 67’den bir yük indirmek için CVE-2022-22954’ten yararlandı.[.]205[.]145[.]142. Yük, yedi dosya içeriyordu:
- phpupdate.exe: Xmrig Monero madencilik yazılımı
- config.json: Madencilik havuzları için yapılandırma dosyası
- networkmanager.exe: Enfeksiyonu taramak ve yaymak için kullanılan yürütülebilir dosya
- phpguard.exe: Koruyucu Xmrig madencisinin çalışmaya devam etmesi için kullanılan yürütülebilir dosya
- init.ps1: Zamanlanmış görev oluşturarak kalıcılığı sürdürmek için komut dosyasının kendisi
- clean.bat: Güvenliği ihlal edilmiş ana bilgisayardaki diğer kripto madencilerini kaldırmak için komut dosyası
- encrypt.exe: RAR1 fidye yazılımı
RAR1ransom’un daha önce hiç yüklenmemiş olması durumunda, yük ilk önce encrypt.exe yürütülebilir dosyasını çalıştırır. Dosya, meşru WinRAR veri sıkıştırma yürütülebilir dosyasını geçici bir Windows klasörüne bırakır. Fidye yazılımı daha sonra kullanıcı verilerini parola korumalı dosyalara sıkıştırmak için WinRAR’ı kullanır.
Yük daha sonra GuardMiner saldırısını başlatır. GuardMiner, Monero para birimi için platformlar arası bir madencilik Truva atıdır. 2020 yılından beri aktiftir.
Saldırılar, güvenlik güncellemelerini zamanında yüklemenin önemini vurguluyor. VMware’in 6 Nisan yamasını henüz yüklememiş olan herkes bunu bir kerede yapmalıdır.