Cactus ransomware ใช้ประโยชน์จากช่องโหว่ระดับ Critical ใน solution การวิเคราะห์ข้อมูล Qlik Sense เพื่อเข้าถึงเครือข่ายองค์กรของเหยื่อ
Qlik Sense รองรับ data sources หลายแห่ง และอนุญาตให้ผู้ใช้สร้างรายงานข้อมูลแบบกำหนดเอง หรือการแสดงผลซึ่งสามารถใช้ในการตัดสินใจได้ ผลิตภัณฑ์นี้สามารถทำงานได้ทั้งแบบภายในองค์กร และบนคลาวด์
ในปลายเดือนสิงหาคม บริษัทได้ปล่อยแพตซ์อัปเดตความปลอดภัยสำหรับช่องโหว่ระดับ Critical 2 รายการ ที่มีผลกระทบต่อเวอร์ชันบน Windows
หนึ่งในช่องโหว่มีหมายเลข CVE-2023-41266 ซึ่งเป็นช่องโหว่ path traversal ที่ทำให้สามารถถูกโจมตีเพื่อสร้าง anonymous sessions และส่ง HTTP requests ไปยัง endpoint ที่ไม่ได้รับอนุญาต
ช่องโหว่ที่สองมีหมายเลข CVE-2023-41265 เป็นช่องโหว่ระดับ Critical ระดับความรุนแรง 9.8 เป็นช่องโหว่ที่ไม่ต้องมีการพิสูจน์ตัวตน และสามารถใช้ในการยกระดับสิทธิ์ เพื่อส่ง HTTP requests ไปยังเซิร์ฟเวอร์ backend ที่ติดตั้งแอปพลิเคชันอยู่
ในวันที่ 20 กันยายน Qlik พบว่าการแก้ไขช่องโหว่สำหรับ CVE-2023-41265 นั้นยังไม่สมบูรณ์ จึงได้เตรียมการอัปเดตใหม่ โดยกำหนดเป็นช่องโหว่ที่แยกต่างหากซึ่งมีหมายเลข CVE-2023-48365
ในรายงานล่าสุด บริษัทด้านความปลอดภัยไซเบอร์ Arctic Wolf ได้แจ้งเตือนถึง Cactus ransomware ที่กำลังใช้ประโยชน์จากช่องโหว่เหล่านี้บน instances ของ Qlik Sense ที่เข้าถึงได้จากอินเทอร์เน็ต และยังไม่ได้ทำการอัปเดตแพตซ์
Cactus ransomware campaign
การโจมตีจาก Cactus ransomware ที่ Arctic Wolf ตรวจสอบพบ ใช้ช่องโหว่เพื่อเรียกใช้โค้ดที่ทำให้บริการ Qlik Sense Scheduler เริ่ม process ใหม่
ผู้โจมตีใช้ PowerShell และ Background Intelligent Transfer Service (BITS) เพื่อดาวน์โหลดเครื่องมือที่ใช้สำหรับแฝงตัวบนระบบ และเปิดช่องทางการเข้าถึงจากระยะไกล
- ManageEngine UEMS executables ที่ถูกปลอมเป็นไฟล์ Qlik
- AnyDesk ดาวน์โหลดจากเว็บไซต์ทางการ
- A Plink (PuTTY Link) binary ที่ถูกเปลี่ยนชื่อเป็น “putty.exe”
นอกจากนี้ ผู้โจมตียังเรียกใช้คำสั่งการค้นหาหลายรายการ โดยส่งผลลัพธ์ไปยังไฟล์ .TTF ซึ่งนักวิจัยของ Arctic Wolf เชื่อว่าเป็นการรับเอาต์พุตคำสั่งผ่าน path traversal
ผู้โจมตียังใช้วิธีการต่าง ๆ เพื่อซ่อนตัว และรวบรวมข้อมูล เช่น การถอนการติดตั้ง Sophos antivirus เปลี่ยนรหัสผ่านผู้ดูแลระบบ และสร้าง RDP tunnel โดยใช้เครื่องมือเชื่อมต่อ Plink command-line
ในขั้นตอนสุดท้ายของการโจมตี ผู้โจมตีจะติดตั้ง Cactus ransomware บนระบบที่ถูกโจมตี
ข้อมูลเพิ่มเติมที่รวบรวมโดยนักวิเคราะห์ของ Arctic Wolf แสดงให้เห็นว่าผู้โจมตีใช้ RDP ในการโจมตีต่อไปภายในเครือข่าย, WizTree เพื่อวิเคราะห์พื้นที่ดิสก์ และ rclone (ซึ่งถูกปลอมเป็น 'svchost.exe') เพื่อขโมยข้อมูลออกไป
การใช้เครื่องมือ และเทคนิคเหล่านี้สอดคล้องกับสิ่งที่นักวิจัยสังเกตเห็นในการโจมตีของ Cactus ransomware ก่อนหน้านี้
เพื่อลดความเสี่ยงจากการโจมตี Qlik แนะนำให้อัปเกรด Sense Enterprise for Windows เวอร์ชันต่อไปนี้:
August 2023 Patch 2
May 2023 Patch 6
February 2023 Patch 10
November 2022 Patch 12
August 2022 Patch 14
May 2022 Patch 16
February 2022 Patch 15
November 2021 Patch 17
Cactus ransomware ถูกพบในเดือนมีนาคมปีนี้ และใช้กลยุทธ์ double-extortion โดยขโมยข้อมูลจากเหยื่อ แล้วจึงทำการเข้ารหัสบนระบบที่ถูกโจมตี ในการโจมตีที่ผ่านมา พวกเขาใช้ช่องโหว่ของ Fortinet VPN เพื่อเข้าถึงเครือข่ายของเหยื่อ
ในรายงานจากนักวิจัยของ Kroll เมื่อเดือนพฤษภาคม พบการเข้ารหัสเพื่อป้องกันไบนารีของมัลแวร์ไม่ให้ถูกตรวจพบโดยผลิตภัณฑ์ด้านความปลอดภัย
นอกจากนี้ นักวิจัยยังเน้นย้ำถึงความอันตรายจากความสามารถในการใช้โปรแกรมเพื่อเข้าถึงจากระยะไกลอย่าง AnyDesk, เครื่องมือ rclone เพื่อส่งข้อมูลที่ถูกขโมยไปยังบริการจัดเก็บข้อมูลบนคลาวด์ และการใช้สคริปต์ชุดคำสั่งเพื่อถอนการติดตั้งผลิตภัณฑ์ด้านความปลอดภัย
ที่มา : bleepingcomputer
You must be logged in to post a comment.