Уязвимость VMware Workspace помогает доставлять майнеры и шифровальщиков
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Уязвимость VMware Workspace помогает доставлять майнеры и шифровальщиков

Татьяна Никитина 24 Октября 2022 - 19:01
...
Уязвимость VMware Workspace помогает доставлять майнеры и шифровальщиков

Эксперты Fortinet рассказали об атаках на платформы VMware Workspace ONE через RCE-уязвимость, которую разработчик закрыл еще в апреле. Пользователи, видимо, не торопятся ставить важный патч, так как попытки эксплойта наблюдаются до сих пор.

Критическая уязвимость CVE-2022-22954 в системах контроля доступа Workspace ONE Access и Identity Manager позволяет удаленно выполнить вредоносный код посредством инъекции на стороне сервера. Попытки злонамеренного использования дыры были зафиксированы через несколько дней после публикации, усилились в мае и, согласно Fortinet, все еще актуальны.

Доставляемая через эксплойт полезная нагрузка в большинстве случаев нацелена на поиск конфиденциальных данных — паролей, файлов hosts и т. п. В августе злоумышленники разнообразили свое меню: активно внедряли самоходные DDoS-боты на основе Mirai, трояна GuardMiner и шифровальщика RAR1.

 

Исследователей особо заинтересовала атака, в ходе которой использовались два разных инициализатора — init.ps1 для Windows и init.sh для Linux. Скрипт PowerShell загружает через шлюз Cloudflare IPFS следующие файлы:

  • phpupdate.exe — майнер монеро;
  • config.json — конфигурационный файл для майнинг-пула;
  • networkmanager.exe — сканер для дальнейшего распространения инфекции;
  • phpguard.exe — охранник, отвечающий за непрерывную работу майнера;
  • clean.bat — скрипт, удаляющий с хоста конкурирующие майнеры;
  • encrypt.exe — шифровальщик RAR1.

Если ресурс в CDN-сети Cloudflare недоступен, загрузка осуществляется из резервного домена crustwebsites[.]net.

Вымогательская программа RAR1 незамысловата: для преобразования файлов она использует WinRAR, присваивает архиву уникальное имя и расширение rar1, а также генерирует для него пароль. (Таким же образом блокируют файлы хакеры Memento, объявившиеся в прошлом году.) За возврат данных операторы шифровальщика в августе просили 2 XMR ($143 по текущему курсу).

Кросс-платформенный троян GuardMiner (PDF) для добычи криптовалюты использовал вариант XMRig и тот же адрес кошелька, что указан в записке RAR1 с требованием выкупа. Вредонос также пытался распространяться на другие узлы сети с помощью модуля networkmanager.exe и эксплойтов, которые он загружал из GitHub-репозитория, используемого специалистами по пентесту.

Следующая главная новость »
AM LiveЧем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Microsoft срочно выпустила патч для .NET 10 из-за критической уязвимости
Екатерина Быстрова 22 Апреля 2026 - 13:41
LinuxWindowsmacOS Уязвимости программ Домашние пользователиКорпорации Microsoft
Microsoft срочно выпустила патч для .NET 10 из-за критической уязвимости

Microsoft выпустила внеплановое обновление для .NET 10. После апрельского набора патчей часть пользователей начала жаловаться на сбои с расшифровкой данных в приложениях на .NET 10.0.6. В ходе разбора проблемы компания обнаружила ещё и уязвимость CVE-2026-40372 с 9,1 балла из 10 по CVSS.

Microsoft уже выпустила заплатку в версии .NET 10.0.7. Проблема затрагивает пакет Microsoft.AspNetCore.DataProtection.

Согласно описанию Microsoft, ошибка в механизме аутентифицированного шифрования могла привести к повышению привилегий: атакующий получал возможность подделывать аутентификационные cookies и расшифровывать часть защищённой нагрузки.

В худшем сценарии это открывает путь к получению прав SYSTEM, чтению файлов и изменению данных.

Особенно неприятный момент в том, что под удар в первую очередь попали не Windows. Microsoft указывает, что уязвимость касается всех ОС с .NET 10.0.6, а также некоторых конфигураций, где приложение использует версии пакета Microsoft.AspNetCore.DataProtection от 10.0.0 до 10.0.6 через NuGet и работает, например, на Linux или macOS.

Чтобы закрыть дыру и одновременно исправить проблемы с расшифровкой, Microsoft выпустила .NET 10.0.7 как внеочередной патч. По данным Microsoft Update Catalog, обновление вышло 21 апреля 2026 года под KB5091596. После установки компания рекомендует проверить версию через dotnet --info, а затем пересобрать и заново развернуть зависимые приложения.

AM LiveЧем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!
Объемы утечек данных из российских сервисов выросли в 1,5 раза
Новость
Объемы утечек данных из российских сервисов выросли в 1,5 ра...
Android-троян в Google Play крадёт данные WhatsApp и переживает сброс
Новость
Android-троян в Google Play крадёт данные WhatsApp и пережив...
Новые AirTag всё ещё легко превратить в инструмент скрытой слежки
Новость
Новые AirTag всё ещё легко превратить в инструмент скрытой с...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.