Уязвимость VMware Workspace помогает доставлять майнеры и шифровальщиков

Татьяна Никитина 24 Октября 2022 - 19:01

...

Эксперты Fortinet рассказали об атаках на платформы VMware Workspace ONE через RCE-уязвимость, которую разработчик закрыл еще в апреле. Пользователи, видимо, не торопятся ставить важный патч, так как попытки эксплойта наблюдаются до сих пор.

Критическая уязвимость CVE-2022-22954 в системах контроля доступа Workspace ONE Access и Identity Manager позволяет удаленно выполнить вредоносный код посредством инъекции на стороне сервера. Попытки злонамеренного использования дыры были зафиксированы через несколько дней после публикации, усилились в мае и, согласно Fortinet, все еще актуальны.

Доставляемая через эксплойт полезная нагрузка в большинстве случаев нацелена на поиск конфиденциальных данных — паролей, файлов hosts и т. п. В августе злоумышленники разнообразили свое меню: активно внедряли самоходные DDoS-боты на основе Mirai, трояна GuardMiner и шифровальщика RAR1.

Исследователей особо заинтересовала атака, в ходе которой использовались два разных инициализатора — init.ps1 для Windows и init.sh для Linux. Скрипт PowerShell загружает через шлюз Cloudflare IPFS следующие файлы:

phpupdate.exe — майнер монеро;
config.json — конфигурационный файл для майнинг-пула;
networkmanager.exe — сканер для дальнейшего распространения инфекции;
phpguard.exe — охранник, отвечающий за непрерывную работу майнера;
clean.bat — скрипт, удаляющий с хоста конкурирующие майнеры;
encrypt.exe — шифровальщик RAR1.

Если ресурс в CDN-сети Cloudflare недоступен, загрузка осуществляется из резервного домена crustwebsites[.]net.

Вымогательская программа RAR1 незамысловата: для преобразования файлов она использует WinRAR, присваивает архиву уникальное имя и расширение rar1, а также генерирует для него пароль. (Таким же образом блокируют файлы хакеры Memento, объявившиеся в прошлом году.) За возврат данных операторы шифровальщика в августе просили 2 XMR ($143 по текущему курсу).

Кросс-платформенный троян GuardMiner (PDF) для добычи криптовалюты использовал вариант XMRig и тот же адрес кошелька, что указан в записке RAR1 с требованием выкупа. Вредонос также пытался распространяться на другие узлы сети с помощью модуля networkmanager.exe и эксплойтов, которые он загружал из GitHub-репозитория, используемого специалистами по пентесту.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 23 Сентября 2025 - 08:55

Общее

В России и Минске стартует новый цикл отраслевых конференций Импульс Т1

В России и Беларуси стартует новый цикл конференций «Импульс Т1». Серия мероприятий пройдёт в Нижнем Новгороде, Екатеринбурге, Новосибирске, Москве и Минске. Главная тема 2025 года — «Центры инженерного мышления».

Организаторы хотят объединить экспертов компаний, представителей государства, университетов и студентов, чтобы обсудить, как формируется инженерная школа в разных регионах.

Особое внимание обещают уделить региональным центрам, где университеты, бизнес и местная экономика создают собственные инновационные проекты. По мнению участников, развитие таких площадок может помочь в решении дефицита ИТ-специалистов. Несмотря на рост числа выпускников профильных кафедр, компаний, которым не хватает кадров, всё ещё много.

Программа конференций включает лекции, дискуссии о технологических трендах и хакатоны. Впервые часть мероприятий пройдёт в университетах-партнёрах — МАИ, УрФУ и НГУ.

В прошлом году «Импульс Т1» собрал тысячи участников офлайн и более миллиона слушателей онлайн.