Το Cactus ransomware εκμεταλλεύεται ελαττώματα του Qlik Sense για να παραβιάσει δίκτυα

Το Cactus ransomware εκμεταλλεύεται κρίσιμα τρωτά σημεία στη λύση ανάλυσης δεδομένων Qlik Sense για να αποκτήσει αρχική πρόσβαση σε εταιρικά δίκτυα.

Το Qlik Sense υποστηρίζει πολλαπλές πηγές δεδομένων και επιτρέπει στους χρήστες να δημιουργούν προσαρμοσμένες αναφορές δεδομένων ή διαδραστικές απεικονίσεις που μπορούν να χρησιμεύσουν στις διαδικασίες λήψης αποφάσεων. Το προϊόν μπορεί να λειτουργήσει τόσο τοπικά όσο και στο cloud.

Στα τέλη Αυγούστου, ο πωλητής κυκλοφόρησε

ενημερώσεις ασφαλείας

για δύο κρίσιμα τρωτά σημεία που επηρεάζουν την έκδοση Windows της

πλατφόρμα

ς. Ένα από τα τρωτά σημεία, ένα σφάλμα διέλευσης μονοπατιού που παρακολουθείται ως

CVE-2023-41266

θα μπορούσε να χρησιμοποιηθεί για τη δημιουργία ανώνυμων περιόδων σύνδεσης και την εκτέλεση αιτημάτων HTTP σε μη εξουσιοδοτημένα τελικά σημεία.

Το δεύτερο τεύχος, παρακολουθείται ως

CVE-2023-41265

και με κρίσιμη σοβαρότητα 9,8, δεν απαιτεί έλεγχο ταυτότητας και μπορεί να αξιοποιηθεί για την αύξηση των προνομίων και την εκτέλεση αιτημάτων HTTP στον διακομιστή υποστήριξης που φιλοξενεί την

εφαρμογή

.

Στις 20 Σεπτεμβρίου, η Qlik ανακάλυψε ότι η επιδιόρθωση για το CVE-2023-41265 ήταν ανεπαρκής

παρείχε νέα ενημέρωση

παρακολουθώντας το ζήτημα ως ξεχωριστή ευπάθεια που προσδιορίζεται ως

CVE-2023-48365

.

Σε μια πρόσφατη

κανω ΑΝΑΦΟΡΑ

η εταιρεία

κυβερνοασφάλεια

ς Arctic Wolf προειδοποιεί για το ransomware Cactus που εκμεταλλεύεται ενεργά αυτά τα ελαττώματα σε παρουσίες του Qlik Sense που εκτίθενται δημόσια και δεν έχουν επιδιορθωθεί.

Καμπάνια Cactus ransomware

Οι επιθέσεις ransomware Cactus που παρατήρησε ο Arctic Wolf εκμεταλλεύονται τα ζητήματα ασφαλείας για την εκτέλεση κώδικα που αναγκάζει την υπηρεσία Qlik Sense Scheduler να ξεκινήσει νέες διαδικασίες.

Οι εισβολείς χρησιμοποιούν το

PowerShell

και το Background Intelligent Transfer Service (BITS) για τη λήψη εργαλείων που καθορίζουν την επιμονή και παρέχουν απομακρυσμένη πρόσβαση στο μηχάνημα:

• ManageEngine UEMS εκτελέσιμα μεταμφιεσμένα σε αρχεία Qlik
• Το AnyDesk ελήφθη απευθείας από τον επίσημο ιστότοπο
• Ένα δυαδικό αρχείο Plink (PuTTY
  
  Link
  
  ) που μετονομάστηκε σε “putty.exe”

Επιπλέον, οι εισβολείς εκτελούν πολλαπλές εντολές ανακάλυψης με την έξοδο να ανακατευθύνεται σε αρχεία .TTF, τα οποία οι ερευνητές του Artic Wolf πιστεύουν ότι είναι για τη λήψη εξόδου εντολών μέσω της διέλευσης διαδρομής.

Ο παράγοντας απειλής χρησιμοποίησε επίσης διάφορες μεθόδους για να παραμείνει κρυφός και να συλλέξει πληροφορίες, όπως η απεγκατάσταση του Sophos antivirus, η αλλαγή του κωδικού πρόσβασης διαχειριστή και η δημιουργία μιας σήραγγας RDP χρησιμοποιώντας το εργαλείο σύνδεσης γραμμής εντολών Plink.

Στο τελικό στάδιο της επίθεσης, οι χάκερ ανέπτυξαν το ransomware Cactus στα συστήματα που είχαν παραβιαστεί.

Πρόσθετα στοιχεία που συλλέχθηκαν από τους αναλυτές του Arctic Wolf υποδηλώνουν ότι οι παράγοντες της απειλής χρησιμοποίησαν το RDP για να μετακινηθούν πλευρικά, το WizTree για να αναλύσει χώρο στο δίσκο και το rclone (μεταμφιεσμένο ως ‘svchost.exe’) για την εξαγωγή δεδομένων.

Η χρήση αυτών των εργαλείων και τεχνικών είναι συνεπής με όσα παρατήρησαν οι ερευνητές σε προηγούμενες επιθέσεις ransomware Cactus.

Για τον μετριασμό των κινδύνων παραβίασης, η Qlik συνιστά την αναβάθμιση στις ακόλουθες εκδόσεις του Sense Enterprise για Windows:

• Αύγουστος 2023 Patch 2
• Μάιος 2023 Patch 6
• Φεβρουάριος 2023 Patch 10
• Νοέμβριος 2022 Patch 12
• Αύγουστος 2022 Patch 14
• Μάιος 2022 Patch 16
• Φεβρουάριος 2022 Patch 15
• Νοέμβριος 2021 Patch 17

Το Cactus ransomware εμφανίστηκε τον Μάρτιο του τρέχοντος έτους και υιοθέτησε την τακτική του διπλού εκβιασμού, κλέβοντας δεδομένα από τα θύματα και στη συνέχεια κρυπτογραφώντας τα σε παραβιασμένα συστήματα. Σε προηγούμενες επιθέσεις, εκμεταλλεύτηκαν ελαττώματα του Fortinet VPN για αρχική πρόσβαση στο δίκτυο.

Οι ερευνητές της Kroll σε μια έκθεση τον Μάιο ξεχώρισαν τη λειτουργία ransomware λόγω της χρήσης της κρυπτογράφησης για την προστασία του δυαδικού κακόβουλου λογισμικού από τον εντοπισμό από προϊόντα ασφαλείας.

Οι ερευνητές τόνισαν επίσης τη χρήση της εφαρμογής απομακρυσμένης επιφάνειας εργασίας AnyDesk, το εργαλείο rclone για την αποστολή κλεμμένων δεδομένων σε υπηρεσίες αποθήκευσης cloud και τη χρήση δέσμης σεναρίων για την απεγκατάσταση προϊόντων ασφαλείας.