News "Первый случай использования вымогательского ПО CACTUS в атаке на уязвимости Qlik Sense"

Исследователи Arctic Wolf

Ссылка скрыта от гостей

о первом документированном случае использования вымогательского ПО CACTUS в кампании, направленной на эксплуатацию уязвимостей в облачной платформе аналитики и бизнес-интеллекта Qlik Sense.

Согласно экспертам, атаки, вероятно, используют три обнаруженных недостатка:
- CVE-2023-41265 (CVSS: 9.9) позволяет злоумышленнику повысить привилегии и отправлять запросы, выполняемые сервером;
- CVE-2023-41266 (CVSS: 6.5) позволяет отправлять HTTP-запросы к неавторизованным конечным точкам;
- CVE-2023-48365 (CVSS: 9.9) связана с неправильной проверкой HTTP-заголовков и приводит к повышению привилегий для злоумышленника.

CVE-2023-48365 является результатом неполного исправления CVE-2023-41265 и было исправлено 20 ноября.

В ходе атак злоумышленники используют службу планировщика Qlik Sense для запуска процессов, загружающих дополнительные инструменты для контроля устойчивости и удаленного управления.

Среди использованных инструментов - ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink. Они также удаляют ПО Sophos, меняют пароли администратора и создают RDP-туннель через Plink.

В конечной стадии атаки развертывается вымогательское ПО, а злоумышленники используют rclone для извлечения данных.​