Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Hacker nutzen kritische Schwachstelle in VMware Workspace One Access aus
November 4, 2022 - TuxCare PR Team
Forscher des Cybersicherheitsunternehmens Fortinet haben eine bösartige Kampagne aufgedeckt, bei der Angreifer eine kritische Schwachstelle in VMware Workspace One Access ausnutzen, um verschiedene Arten von Malware zu verbreiten, darunter das Tool RAR1Ransom, das Dateien in passwortgeschützten Archiven sperrt.
VMware Workspace ONE Access wurde entwickelt, um Kunden einen schnelleren Zugriff auf SaaS, Web und native mobile Anwendungen mit Multi-Faktor-Authentifizierung, bedingtem Zugriff und Single Sign-On zu ermöglichen. Im Grunde bietet es eine schnellere und sicherere Benutzererfahrung für den digitalen Arbeitsbereich. Zu den wichtigsten Angeboten gehören die Bereitstellung eines verbraucherähnlichen Benutzererlebnisses für Unternehmensanwendungen, die schnellere Einbindung neuer Anwendungen, Zero-Trust-Zugang und ein intelligenter digitaler Arbeitsplatz.
Die Sicherheitslücke wird als CVE-2022-22954 geführt. Es handelt sich um einen Fehler bei der Remotecodeausführung, der durch serverseitige Vorlageninjektion ausgelöst wird. In den beobachteten Kampagnen verwenden die Bedrohungsakteure das Mira-Botnet für DDoS-Angriffe (Distributed Denial-of-Service), den GuardMiner Cryptocurrency Miner und das RAR1Ransom-Tool.
Im August gingen die Angreifer von gezielten Datenexfiltrationsversuchen zu Kryptominern, Dateitokens und DDoS-Angriffen über eine Miral-Variante über, wobei sie Bash- und PowerShell-Skripte verwenden, um Linux- und Windows-Systeme anzugreifen. Die Skripte rufen eine Liste von Dateien ab, die auf dem angegriffenen Computer gestartet werden.
Zu den Dateien, die das PowerShell-Skript "init.ps1" herunterlädt, gehören: phpupdate.exe, eine Xmrig-Monero-Mining-Software; config.json: Konfigurationsdatei für Mining-Pools; networkmanager.exe, eine ausführbare Datei, die zum Scannen und Verbreiten von Infektionen verwendet wird; phpguard.exe, eine ausführbare Datei, die den Guardian Xmrig-Miner am Laufen hält; clean.bat, eine Skriptdatei zum Entfernen anderer Cryptominers auf dem infizierten Host; encrypt.exe, eine RAR1-Ransomware.
Die Angreifer verwenden RAR1Ransom als einfaches Ransomware-Tool. Das Tool missbraucht WinRAR, um die Dateien des Opfers zu komprimieren und sie mit einem Passwort zu sperren. RAR1Ransom zielt auf eine bestimmte Liste von Dateitypen ab und hängt schließlich die Erweiterung "rart" an. Die Malware legt dann eine Lösegeldnotiz ab, die die Zahlung von 2 XMR an eine angegebene Wallet-Adresse fordert.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
