Уязвимость VMware Workspace помогает доставлять майнеры и шифровальщиков

Татьяна Никитина 24 Октября 2022 - 19:01

...

Эксперты Fortinet рассказали об атаках на платформы VMware Workspace ONE через RCE-уязвимость, которую разработчик закрыл еще в апреле. Пользователи, видимо, не торопятся ставить важный патч, так как попытки эксплойта наблюдаются до сих пор.

Критическая уязвимость CVE-2022-22954 в системах контроля доступа Workspace ONE Access и Identity Manager позволяет удаленно выполнить вредоносный код посредством инъекции на стороне сервера. Попытки злонамеренного использования дыры были зафиксированы через несколько дней после публикации, усилились в мае и, согласно Fortinet, все еще актуальны.

Доставляемая через эксплойт полезная нагрузка в большинстве случаев нацелена на поиск конфиденциальных данных — паролей, файлов hosts и т. п. В августе злоумышленники разнообразили свое меню: активно внедряли самоходные DDoS-боты на основе Mirai, трояна GuardMiner и шифровальщика RAR1.

Исследователей особо заинтересовала атака, в ходе которой использовались два разных инициализатора — init.ps1 для Windows и init.sh для Linux. Скрипт PowerShell загружает через шлюз Cloudflare IPFS следующие файлы:

phpupdate.exe — майнер монеро;
config.json — конфигурационный файл для майнинг-пула;
networkmanager.exe — сканер для дальнейшего распространения инфекции;
phpguard.exe — охранник, отвечающий за непрерывную работу майнера;
clean.bat — скрипт, удаляющий с хоста конкурирующие майнеры;
encrypt.exe — шифровальщик RAR1.

Если ресурс в CDN-сети Cloudflare недоступен, загрузка осуществляется из резервного домена crustwebsites[.]net.

Вымогательская программа RAR1 незамысловата: для преобразования файлов она использует WinRAR, присваивает архиву уникальное имя и расширение rar1, а также генерирует для него пароль. (Таким же образом блокируют файлы хакеры Memento, объявившиеся в прошлом году.) За возврат данных операторы шифровальщика в августе просили 2 XMR ($143 по текущему курсу).

Кросс-платформенный троян GuardMiner (PDF) для добычи криптовалюты использовал вариант XMRig и тот же адрес кошелька, что указан в записке RAR1 с требованием выкупа. Вредонос также пытался распространяться на другие узлы сети с помощью модуля networkmanager.exe и эксплойтов, которые он загружал из GitHub-репозитория, используемого специалистами по пентесту.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 23 Сентября 2025 - 13:14

Корпорации Защита конечных точек сети Расследование инцидентов (EndPoint Forensics) InfoWatch

InfoWatch внедрит ИИ-помощника и аналитику в Центр расследований

Группа компаний InfoWatch анонсировала обновление Центра расследований — единой консоли для своих решений. Презентация состоялась 23 сентября на конференции BIS Summit 2025.

Новая версия появится в следующем году и получит набор инструментов на базе ИИ, а также обновлённый интерфейс с настройкой дашбордов и расширенной аналитикой.

Одним из ключевых дополнений станет «Младший аналитик» — ИИ-помощник, который работает с данными из DLP-системы Traffic Monitor и других решений InfoWatch. Ему можно задавать вопросы в свободной форме, получать ответы в виде текста или визуализации на виджетах.

Отдельный модуль «Картина дня сотрудника» будет интегрирован в Activity Monitor. Он формирует отчёт о действиях пользователя за компьютером, выявляя закономерности, которые сложно заметить вручную.

Также обновятся аналитические сервисы Vision и Prediction. Vision позволяет отслеживать перемещение файлов внутри компании, а Prediction — выявлять потенциальные риски и настраивать группы риска под специфику организации.

Ещё одна доработка — система аудиотранскрибации. Она распознаёт речь в текст, определяет тональность и эмоции говорящего, выделяет ключевые темы и собеседников, а также формирует аннотацию разговора.

По данным компании, обновлённый Центр расследований станет доступен заказчикам в начале 2026 года.