기술 지원
문서
로그인
문의하기
해커가 VMware Workspace One Access의 심각한 결함을 악용한 사례
2022년 11월 4일 TuxCare 홍보팀
사이버 보안 기업 포티넷의 연구원들은 공격자가 VMware Workspace One Access의 중요한 취약점을 악용하여 암호로 보호된 아카이브의 파일을 잠그는 RAR1Ransom 툴을 비롯한 다양한 유형의 멀웨어를 유포하는 악성 캠페인을 발견했습니다.
VMware Workspace ONE Access는 고객이 다단계 인증, 조건부 액세스 및 싱글 사인온을 통해 SaaS, 웹 및 기본 모바일 애플리케이션에 더 빠르게 액세스할 수 있도록 설계되었습니다. 기본적으로 디지털 워크스페이스 사용자에게 더 빠르고 안전한 사용자 환경을 제공합니다. 주요 기능으로는 엔터프라이즈 애플리케이션에 소비자와 같은 사용자 경험 제공, 새로운 애플리케이션의 빠른 온보딩, 제로 트러스트 액세스, 스마트 디지털 워크플레이스 등이 있습니다.
이 취약점은 CVE-2022-22954로 추적됩니다. 이 취약점은 서버 측 템플릿 인젝션을 통해 트리거되는 원격 코드 실행 결함입니다. 관찰된 캠페인에서 위협 행위자는 분산 서비스 거부(DDoS) 공격에 미라 봇넷, 가드마이너(GuardMiner) 암호화폐 채굴기, RAR1랜섬 툴을 사용합니다.
8월에 공격자들은 표적 데이터 유출 시도에서 크립토마이너, 파일 토큰, Miral 변종에 의한 디도스 공격으로 전환했으며, Bash 및 PowerShell 스크립트를 사용하여 Linux와 Windows 시스템을 표적으로 삼았습니다. 이 스크립트는 손상된 시스템에서 실행할 파일 목록을 가져옵니다.
파워셸 스크립트 "init.ps1"이 다운로드한 파일 중 일부는 다음과 같습니다: Xmrig 모네로 채굴 소프트웨어인 phpupdate.exe, 채굴 풀용 구성 파일인 config.json, 감염을 검사하고 확산하는 데 사용되는 실행 파일인 networkmanager.exe, 가디언 Xmrig 채굴기가 계속 실행되도록 하는 데 사용되는 실행 파일인 phpguard.exe, 손상된 호스트에서 다른 크립토마이너를 제거하는 스크립트 파일인 clean.bat, RAR1 랜섬웨어인 encrypt.exe입니다.
공격자는 간단한 랜섬웨어 도구로 RAR1Ransom을 사용합니다. 이 도구는 WinRAR을 악용하여 피해자의 파일을 압축하고 암호로 잠급니다. RAR1Ransom은 특정 파일 유형 목록을 표적으로 삼고 결국 "rart" 확장자를 추가합니다. 그런 다음 악성 코드는 제공된 지갑 주소로 2 XMR을 지불하도록 요청하는 랜섬 메모를 드롭합니다.
이 글의 출처는 BleepingComputer의 기사입니다.
