Täiustatud häkkerid kasutavad aktiivselt ära kriitilist koodi kaugkäivitamise (RCE) haavatavust CVE-2022-22954, mis mõjutab VMware Workspace ONE Accessi (endise nimega VMware Identity Manager).
Probleem lahendati 20 päeva tagasi turvavärskenduses koos veel kahe RCE-ga: CVE-2022-22957 ja CVE-2022-22958, mis mõjutavad ka VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation ja vRealize Suite Elutsükli juht.
Vahetult pärast vigade avalikustamist ilmus avalikku omandisse kontseptsiooni tõestamise (PoC) kood, mis võimaldas häkkeritel ära kasutada VMware toodete haavatavaid rakendusi. VMware kinnitas CVE-2022-22954 kasutamist looduses.
Nüüd teatavad Morphiseci teadlased, et nad on ära kasutanud arenenud püsivate ohtude (APT) osalejad, eriti Iraani häkkimisrühmitus, mida jälgitakse nime all APT35, tuntud ka kui 'raketi kassipoeg'.
rünnaku üksikasjad
Vastased saavad esmase juurdepääsu keskkonnale, kasutades ära CVE-2022-22954, mis on ainus RCE-de kolmikust, mis ei nõua sihtserverile administraatorijuurdepääsu ja millel on ka avalikult kättesaadav PoC ärakasutamine.
Rünnak algab haavatavas teenuses (Identity Manager) PowerShelli käsu käivitamisega, mis käivitab etapi.
Seejärel hangib host käsu- ja juhtimisserverist (C2) PowerTrashi laadija väga hägustatud kujul ja laadib süsteemimällu Core Impact agendi.
APT35 ründevoog (Morphisec)
Core Impact on seaduslik läbitungimise testimise tööriist, mida sel juhul kuritarvitatakse pahatahtlikel eesmärkidel, sarnaselt sellele, kuidas Cobalt Strike'i kasutatakse pahatahtlikes kampaaniates.
Tegemist ei ole siiski uue kaubaga. Trend Micro on varem teatanud Core Impacti kuritarvitamisest APT35 poolt, mille tegevus pärineb 2015. aastast.
„Morphiseci uuringud märkisid, et ründajad kasutasid seda haavatavust (CVE-2022-22954) juba ära, et käivitada tagasipööratud HTTPS-i tagauksi, peamiselt Cobalt Strike’i, Metasploiti või Core Impacti majakaid” – Morphisec
Morphiseci tehnoloogiadirektor Michael Gorelik ütles BleepingComputerile, et ründaja üritas võrgus külgsuunas liikuda, kuigi tagauks peatati.
Privilegeeritud juurdepääsuga saavad seda tüüpi rünnakud mööda minna tüüpilistest kaitsemehhanismidest, sealhulgas viirusetõrjest (AV) ja lõpp-punkti tuvastamisest ja reageerimisest (EDR), lisab Morphisec aruandes.
Lingid hostimisettevõttele
Morphisec suutis hankida etapiserveri C2-aadressi, Core Impact-kliendi versiooni ja C2-suhtluseks kasutatud 256-bitise krüpteerimisvõtme, sidudes toimingu lõpuks konkreetse inimesega, kelle nimi on Ivan Neculiti.
Huckstersi pettustega kokkupuute andmebaasis on sellenimeline kanne, mis loetleb Moldovas, Venemaal ja Ühendkuningriigis registreeritud ettevõtted, sealhulgas hostimisettevõtte, mis andmebaasi väitel toetab igasuguseid ebaseaduslikke veebisaite, aga ka rämpsposti ja andmepüügikampaaniad
On ebaselge, kas Neculiti või sidusettevõtted olid teadlikult või teadmata mingil viisil seotud küberkuritegevuse kampaaniatega.
BleepingComputer on võtnud ühendust mõlema hostimisettevõttega, et kommenteerida Morphiseci aruandes esitatud väiteid, ja kui vastu kuuleme, värskendame seda postitust.
Mida sa arvad?
