Специалисты Fortinet предупреждают, что хакеры по-прежнему эксплуатируют уязвимость в VMware Workspace ONE Access (CVE-2022-22954), распространяя таким образом программы-вымогатели и майнеры криптовалют.

Напомню, что уязвимость CVE-2022-22954 связана с удаленным выполнением произвольного кода и затрагивает VMware Workspace ONE Access. Баг набрал 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS, и компания VMware обнаружила и исправила проблему 6 апреля текущего года. Однако злоумышленники отреверсили это исправление и уже через 48 часов создали эксплоит, который затем стал использоваться для компрометации еще непропатченных серверов.

В августе аналитики Fortinet заметили внезапный всплеск попыток эксплуатации этой проблемы, а также серьезные изменения в тактике атакующих. Если раньше при помощи CVE-2022-22954 хакеры устанавливали полезные нагрузки, которые собирали пароли и другие данные, в рамках новой волны атак распространялись вымогатель RAR1ransom, майнер GuardMiner для добычи Monero, а также очередная модификации малвари Mirai, которая используется для построения DDoS-ботнетов.

Образец Mirai, который обнаружили эксперты, был загружен с http://107[.]189[.]8[.]21/pedalcheta/cutie.x86_64 и полагался на управляющий сервер на cnc.goodpackets[.]cc. Помимо проведения DDoS-атак малварь также пыталась заразить другие устройства через брутфорс пароля администратора. Исследователи обнаружили следующий список паролей для популярных IoT-девайсов, которые использовало вредоносное ПО:

hikvision 1234 win1dows S2fGqNFs
root tsgoingon newsheen 12345
default solokey neworange88888888 guest
bin user neworang system
059AnkJ telnetadmin tlJwpbo6 iwkb
141388 123456 20150602 00000000
adaptec 20080826 vstarcam2015 v2mprt
Administrator 1001chin vhd1206 support
NULL xc3511 QwestM0dem 7ujMko0admin
bbsd-client vizxv fidel123 dvr2580222
par0t hg2x0 samsung t0talc0ntr0l4!
cablecom hunt5759 epicrouter zlxx
pointofsale nflection admin@mimifi xmhdipc
icatch99 password daemon netopia
3com DOCSIS_APP hagpolm1 klv123
OxhlwSG8

 

В свою очередь, распространение RAR1Ransom и GuardMiner осуществляется с помощью PowerShell или шелл-скриптов в зависимости от ОС. В отчете исследователей отмечается, что вымогатель RAR1ransom также примечателен тем, что использует WinRAR для помещения файлов жертвы в защищенные паролем архивы.

Специалисты Fortinet резюмируют, что CVE-2022-22954 по-прежнему представляет опасность, а тем, кто до сих пор этого не сделал, рекомендуется исправить уязвимость как можно скорее.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии