技術支援
文件
登錄
聯繫我們
駭客利用 VMware Workspace One Access 中的關鍵漏洞
奧班拉·奧佩耶米
實施期間: 2022年11月 4 日 - TuxCare專家團隊
網路安全公司Fortinet的研究人員發現了一個惡意活動,攻擊者利用VMware Workspace One Access中的關鍵漏洞來傳播各種類型的惡意軟體,包括RAR1Ransom工具,該工具將文件鎖定在受密碼保護的存檔中。
VMware Workspace ONE Access 旨在通過多重身份驗證、條件訪問和單點登錄,讓客戶能夠更快地訪問 SaaS、Web 和本機移動應用。基本上,它為使用者提供了更快,更安全的用戶體驗數位工作空間。它的一些主要產品包括為企業應用程式提供類似消費者的用戶體驗、更快的新應用程序上線、零信任訪問和智慧數位工作場所。
該漏洞被跟蹤為 CVE-2022-22954。這是一個通過伺服器端範本注入觸發的遠端代碼執行缺陷。在觀察到的活動中,威脅行為者使用Mira殭屍網路進行分散式拒絕服務 (DDoS) 攻擊、GuardMiner 加密貨幣礦工和 RAR1Ransom 工具。
八月份,攻擊者從有針對性的數據洩露嘗試轉向加密礦工,檔令牌和來自Miral變體的DDoS,使用Bash和PowerShell腳本來針對Linux和Windows系統。這些文稿獲取要在受感染計算機上啟動的檔案清單。
PowerShell腳本「init.ps1」下載的一些檔包括:phpupdate.exe,一個Xmrig Monero挖礦軟體;config.json:礦池的配置檔;NetworkManager.exe,用於掃描和傳播感染的可執行檔;phpguard.exe,一個用於守護者Xmrig礦工保持運行的可執行檔;clean.bat,一個腳本文件,用於刪除受感染主機上的其他加密礦工;encrypt.exe,一種 RAR1 勒索軟體。
攻擊者使用 RAR1Ransom 作為簡單的勒索軟體工具。該工具濫用 WinRAR 來壓縮受害者的檔並使用密碼鎖定它們。RAR1Ransom 針對特定的檔類型清單,並最終附加“rart”擴展名。然後,惡意軟體會發出贖金票據,要求向提供的錢包位址支付 2 XMR。
這篇文章的來源包括 BleepingComputer上的一篇文章。
