Когда дело дошло до злоупотребления известной уязвимостью в VMware Workspace One Access, злоумышленники решили повысить ставку, добавив в эту смесь программы-вымогатели.
В отчете Fortinet, наблюдавшем за развитием атак в августе этого года, указывается на новый недостаток продукта VMware: уязвимость удаленного выполнения кода из-за внедрения шаблонов на стороне сервера.
Уязвимость была идентифицирована как CVE-2022-22954, и вскоре было обнаружено, что ее использовал известный злоумышленник APT35 (он же Rocket Kitten). Месяц спустя EnemyBot также присоединился к этой инициативе. Несколько злоумышленников использовали эту уязвимость для развертывания ботнета Mira для DDoS-атак или GuardMiner для добычи криптовалюты для злоумышленников.
Введите RAR1Ransom
Теперь Fortinet заметила, что уязвимость используется для развертывания инструмента RAR1Ransom. BleepingComputer описывает его как «простой инструмент-вымогатель (открывается в новой вкладке)», который использует WinRAR для сжатия файлов жертвы и блокировки их паролем. После завершения задачи присвойте всем заблокированным файлам расширение .rar1. Чтобы получить пароль, жертвам придется заплатить 2 XMR, что составляет около 290 евро.
Стоит отметить, что это не «классический» вариант программы-вымогателя, поскольку он фактически не шифрует файлы, а просто блокирует их в файле, защищенном паролем.
Fortinet также обнаружила, что адрес XMR, по которому жертвы должны платить, тот же, что используется в GuardMiner.
VMware исправила уязвимость удаленного выполнения кода несколько месяцев назад, но похоже, что некоторые организации еще не исправили свои конечные точки и остаются уязвимыми для растущего числа атак. В апреле компания исправила этот недостаток вместе с некоторыми другими уязвимостями и призвала пользователей не соглашаться на исправление, предоставленное в то время:
«Обходные пути, хотя и практичны, не устраняют уязвимости и могут создать дополнительные сложности, которые не могут возникнуть при использовании исправлений», — предупредила компания. «Хотя решение об исправлении или использовании обходного пути остается за вами, VMware по-прежнему настоятельно рекомендует устанавливать исправления как самый простой и надежный способ решения этой проблемы».
Через: BleepingComputer (открывается в новой вкладке)