Исследователи Arctic Wolf
Согласно экспертам, атаки, вероятно, используют три обнаруженных недостатка:
- CVE-2023-41265 (CVSS: 9.9) позволяет злоумышленнику повысить привилегии и отправлять запросы, выполняемые сервером;
- CVE-2023-41266 (CVSS: 6.5) позволяет отправлять HTTP-запросы к неавторизованным конечным точкам;
- CVE-2023-48365 (CVSS: 9.9) связана с неправильной проверкой HTTP-заголовков и приводит к повышению привилегий для злоумышленника.
CVE-2023-48365 является результатом неполного исправления CVE-2023-41265 и было исправлено 20 ноября.
В ходе атак злоумышленники используют службу планировщика Qlik Sense для запуска процессов, загружающих дополнительные инструменты для контроля устойчивости и удаленного управления.
Среди использованных инструментов - ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink. Они также удаляют ПО Sophos, меняют пароли администратора и создают RDP-туннель через Plink.
В конечной стадии атаки развертывается вымогательское ПО, а злоумышленники используют rclone для извлечения данных.
Ссылка скрыта от гостей
о первом документированном случае использования вымогательского ПО CACTUS в кампании, направленной на эксплуатацию уязвимостей в облачной платформе аналитики и бизнес-интеллекта Qlik Sense.Согласно экспертам, атаки, вероятно, используют три обнаруженных недостатка:
- CVE-2023-41265 (CVSS: 9.9) позволяет злоумышленнику повысить привилегии и отправлять запросы, выполняемые сервером;
- CVE-2023-41266 (CVSS: 6.5) позволяет отправлять HTTP-запросы к неавторизованным конечным точкам;
- CVE-2023-48365 (CVSS: 9.9) связана с неправильной проверкой HTTP-заголовков и приводит к повышению привилегий для злоумышленника.
CVE-2023-48365 является результатом неполного исправления CVE-2023-41265 и было исправлено 20 ноября.
В ходе атак злоумышленники используют службу планировщика Qlik Sense для запуска процессов, загружающих дополнительные инструменты для контроля устойчивости и удаленного управления.
Среди использованных инструментов - ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink. Они также удаляют ПО Sophos, меняют пароли администратора и создают RDP-туннель через Plink.
В конечной стадии атаки развертывается вымогательское ПО, а злоумышленники используют rclone для извлечения данных.