Уязвимость VMware Workspace помогает доставлять майнеры и шифровальщиков

Татьяна Никитина 24 Октября 2022 - 19:01

...

Эксперты Fortinet рассказали об атаках на платформы VMware Workspace ONE через RCE-уязвимость, которую разработчик закрыл еще в апреле. Пользователи, видимо, не торопятся ставить важный патч, так как попытки эксплойта наблюдаются до сих пор.

Критическая уязвимость CVE-2022-22954 в системах контроля доступа Workspace ONE Access и Identity Manager позволяет удаленно выполнить вредоносный код посредством инъекции на стороне сервера. Попытки злонамеренного использования дыры были зафиксированы через несколько дней после публикации, усилились в мае и, согласно Fortinet, все еще актуальны.

Доставляемая через эксплойт полезная нагрузка в большинстве случаев нацелена на поиск конфиденциальных данных — паролей, файлов hosts и т. п. В августе злоумышленники разнообразили свое меню: активно внедряли самоходные DDoS-боты на основе Mirai, трояна GuardMiner и шифровальщика RAR1.

Исследователей особо заинтересовала атака, в ходе которой использовались два разных инициализатора — init.ps1 для Windows и init.sh для Linux. Скрипт PowerShell загружает через шлюз Cloudflare IPFS следующие файлы:

phpupdate.exe — майнер монеро;
config.json — конфигурационный файл для майнинг-пула;
networkmanager.exe — сканер для дальнейшего распространения инфекции;
phpguard.exe — охранник, отвечающий за непрерывную работу майнера;
clean.bat — скрипт, удаляющий с хоста конкурирующие майнеры;
encrypt.exe — шифровальщик RAR1.

Если ресурс в CDN-сети Cloudflare недоступен, загрузка осуществляется из резервного домена crustwebsites[.]net.

Вымогательская программа RAR1 незамысловата: для преобразования файлов она использует WinRAR, присваивает архиву уникальное имя и расширение rar1, а также генерирует для него пароль. (Таким же образом блокируют файлы хакеры Memento, объявившиеся в прошлом году.) За возврат данных операторы шифровальщика в августе просили 2 XMR ($143 по текущему курсу).

Кросс-платформенный троян GuardMiner (PDF) для добычи криптовалюты использовал вариант XMRig и тот же адрес кошелька, что указан в записке RAR1 с требованием выкупа. Вредонос также пытался распространяться на другие узлы сети с помощью модуля networkmanager.exe и эксплойтов, которые он загружал из GitHub-репозитория, используемого специалистами по пентесту.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Марта 2025 - 09:43

Домашние пользователи Корпорации

Brother обвинили в блокировке сторонних картриджей навязанным апдейтом

Популярный ютубер Луис Россманн обвинил японского техногиганта Brother в блокировании использования картриджей для принтеров сторонних производителей. Как заявил Россманн, нововведения навязаны принудительным обновлением прошивки.

Ранее техноблогер как раз хвалил Brother, ставя этого производителя в пример HP и Canon, которые известны жёсткими мерами в отношении сторонних расходных материалов.

Теперь, к сожалению, и Brother «встала на тёмную сторону», отмечает Россманн. Блогер выделил две основные проблемы:

Ограничение на использование сторонних картриджей. После обновления прошивки некоторые модели принтеров Brother перестали работать с совместимыми картриджами, которые ранее использовались без проблем.
Ограничения на цветную калибровку. Владелец многофункционального принтера Brother заметил, что после обновления устройство отказывается выполнять калибровку при использовании неоригинальных чернил, фактически делая такие картриджи бесполезными.

Еще одна неприятная особенность — проблемную прошивку нельзя откатить. Россманн отмечает, что Brother часто удаляет старые версии программного обеспечения с официального сайта, из-за чего пользователи не могут вернуться к более функциональной версии прошивки.

Ютубер рекомендовал владельцам принтеров Brother держать устройства в офлайн-режиме и отключить автоматические обновления.