Pepijat VMware dengan penilaian keterukan 9.8 dieksploitasi untuk memasang ramuan perisian hasad

Penggodam telah mengeksploitasi kelemahan yang telah ditambal sekarang dalam VMware Workspace ONE Access dalam kempen untuk memasang pelbagai perisian tebusan dan pelombong mata wang kripto, kata seorang penyelidik di firma keselamatan Fortinet pada Khamis.

CVE-2022-22954 ialah kelemahan pelaksanaan kod jauh dalam VMware Workspace ONE Access yang membawa penarafan keterukan 9.8 daripada kemungkinan 10. VMware didedahkan dan ditampal kerentanan pada 6 April. Dalam masa 48 jam, penggodam merekayasa balik kemas kini dan membangunkan eksploitasi kerja yang kemudiannya mereka gunakan untuk pelayan kompromi yang masih belum memasang pembaikan. Akses VMware Workspace ONE membantu pentadbir mengkonfigurasi set aplikasi yang diperlukan oleh pekerja dalam persekitaran kerja mereka.

Pada bulan Ogos, penyelidik di Fortiguard Labs melihat peningkatan mendadak dalam percubaan eksploitasi dan perubahan besar dalam taktik. Sedangkan sebelum penggodam memasang muatan yang menuai kata laluan dan mengumpul data lain, lonjakan baharu itu membawa sesuatu yang lain—khususnya, perisian tebusan yang dikenali sebagai RAR1ransom, pelombong mata wang kripto yang dikenali sebagai GuardMiner, dan Mirai, perisian yang menghubungkan peranti Linux menjadi botnet besar-besaran untuk digunakan dalam serangan penafian perkhidmatan yang diedarkan.

Pepijat VMware dengan penilaian keterukan 98 dieksploitasi untuk memasang ramuan

FortiGuard

“Walaupun kerentanan kritikal CVE-2022-22954 telah ditambal pada bulan April, masih terdapat beberapa kempen perisian hasad yang cuba mengeksploitasinya,” penyelidik Fortiguard Labs Cara Lin menulis. Penyerang, tambahnya, menggunakannya untuk menyuntik muatan dan mencapai pelaksanaan kod jauh pada pelayan yang menjalankan produk.

Sampel Mirai yang dilihat Lin sedang dipasang telah dimuat turun daripada http[:]//107[.]189[.]8[.]21/pedalcheta/cutie[.]x86_64 dan bergantung pada pelayan arahan dan kawalan di “cnc[.]goodpackets[.]cc. Selain menghantar trafik sampah yang digunakan dalam DDoSes, sampel itu juga cuba menjangkiti peranti lain dengan meneka kata laluan pentadbiran yang mereka gunakan. Selepas menyahkod rentetan dalam kod, Lin menemui senarai kelayakan berikut yang digunakan oleh perisian hasad:

hikvision

1234

windows1dows

S2fGqNFs

akar

tsgoingon

akhbar berita

12345

lalai

solokey

neworange88888888

tetamu

tong sampah

pengguna

neworang

sistem

059AnkJ

telnetadmin

tlJwpbo6

iwkb

141388

123456

20150602

00000000

adaptec

20080826

vstarcam2015

v2mprt

Pentadbir

1001dagu

vhd1206

sokongan

NULL

xc3511

QwestM0dem

7ujMko0admin

bbsd-klien

vizxv

fidel123

dvr2580222

bahagian0t

hg2x0

samsung

t0talc0ntr0l4!

cablecom

memburu5759

epicrouter

zlxx

tempat jualan

nfleksi

admin@mimifi

xmhdipc

icatch99

kata laluan

daemon

netopia

3com

DOCSIS_APP

hagpolm1

klv123

OxhlwSG8

Dalam apa yang kelihatan sebagai kempen yang berasingan, penyerang juga mengeksploitasi CVE-2022-22954 untuk memuat turun muatan daripada 67[.]205[.]145[.]142. Muatan termasuk tujuh fail:

  • phpupdate.exe: perisian perlombongan Xmrig Monero
  • config.json: Fail konfigurasi untuk kumpulan perlombongan
  • networkmanager.exe: Boleh laku digunakan untuk mengimbas dan menyebarkan jangkitan
  • phpguard.exe: Boleh laku digunakan untuk penjaga Xmrig pelombong untuk terus berjalan
  • init.ps1: Fail skrip itu sendiri untuk mengekalkan kegigihan melalui mencipta tugas berjadual
  • clean.bat: Fail skrip untuk mengalih keluar pelombong kripto lain pada hos yang terjejas
  • encrypt.exe: RAR1 ransomware

Sekiranya RAR1ransom tidak pernah dipasang sebelum ini, muatan akan menjalankan fail boleh laku encrypt.exe terlebih dahulu. Fail itu menjatuhkan pemampatan data WinRAR yang sah yang boleh dilaksanakan dalam folder Windows sementara. Perisian tebusan kemudiannya menggunakan WinRAR untuk memampatkan data pengguna ke dalam fail yang dilindungi kata laluan.

Muatan kemudian akan memulakan serangan GuardMiner. GuardMiner ialah Trojan perlombongan silang platform untuk mata wang Monero. Ia telah aktif sejak 2020.

Serangan tersebut menekankan kepentingan memasang kemas kini keselamatan tepat pada masanya. Sesiapa yang masih belum memasang patch 6 April VMware harus berbuat demikian sekaligus.

We wish to thank the author of this article for this remarkable web content

Pepijat VMware dengan penilaian keterukan 9.8 dieksploitasi untuk memasang ramuan perisian hasad


Find here our social media profiles , as well as the other related pageshttps://paw6.info/related-pages/