ช่องโหว่ VMware Workspace ONE Access ที่ปัจจุบันได้รับการแก้ไขไปแล้ว พบว่ากำลังถูกใช้ในการโจมตีเพื่อติดตั้ง cryptocurrency miners และ Ransomware บนเครื่องที่ถูกโจมตี
Cara Lin นักวิจัยของ Fortinet FortiGuard Labs ระบุในรายงานว่า ผู้โจมตีตั้งใจที่จะใช้ทรัพยากรของเหยื่อให้มากที่สุดไม่เพียงแค่ติดตั้ง RAR1Ransom เท่านั้น แต่ยังเพื่อแพร่กระจาย GuardMiner เพื่อทำการขุดเหรียญคริปโตเคอเรนซี
ช่องโหว่นี้มีหมายเลข CVE-2022-22954 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ซึ่งเกิดจาก server-side template injection แม้ว่าช่องโหว่ดังกล่าวจะได้รับการแก้ไขไปแล้วโดย VMware ในเดือนเมษายน พ.ศ. 2565 แต่ก็ยังมีการพยายามโจมตีอยู่อย่างต่อเนื่อง
Fortinet ระบุว่าตรวจพบการโจมตีในเดือนสิงหาคม พ.ศ. 2565 ที่เป็นการพยายามโจมตีเพื่อติดตั้ง Mirai botnet บน Linux รวมถึง RAR1Ransom และ GuardMiner ซึ่งเป็นเวอร์ชันหนึ่งของ XMRig Monero miner
Mirai ถูกออกแบบมาเพื่อเปิดใช้การโจมตีแบบ DoS และ brute-force attacks โดยมุ่งเป้าไปที่อุปกรณ์ประเภท IoT
การแพร่กระจายของ RAR1Ransom และ GuardMiner โดยใช้ PowerShell หรือเชลล์สคริปต์ขึ้นอยู่กับระบบปฏิบัติการ RAR1ransom จะใช้ประโยชน์จาก WinRAR เพื่อล็อคไฟล์โดยการใส่รหัสผ่าน
นอกจากนี้ GuardMiner ยังมีความสามารถในการเผยแพร่ไปยังโฮสต์อื่น ๆ โดยใช้ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในซอฟต์แวร์อื่น ๆ รวมถึงช่องโหว่ใน Apache Struts, Atlassian Confluence และ Spring Cloud Gateway
ที่มา: thehackernews