調查發現,高級黑客正在積極利用影響VMware Workspace ONE Access(以前稱為 VMware Identity Manager)的關鍵遠程代碼執行(RCE)漏洞CVE-2022-22954。慶幸的是,該問題已在20天前的安全更新中得到解決,不過另外兩個編號為RCE - CVE-2022-22957和CVE-2022-22958的漏洞也會影響VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA)、VMware Cloud Foundation 和vRealize Suite生命周期管理控制台。
在漏洞被公開後不久,PoC漏洞代碼便出現在公共空間,使黑客得以利用這些代碼攻擊部分易受攻擊的VMware產品,隨後VMware也確認了CVE-2022-22954 在野被利用。現在,Morphisec的研究人員報告說,他們看到了高級持續威脅(APT)參與者也在利用這些漏洞,特別是編號為APT35、又名「火箭小貓」的伊朗黑客組織。
攻擊細節
攻擊者通過利用CVE-2022-22954獲得對環境的初始訪問權限,這是RCE三人組中唯一一個不需要對目標服務器進行管理訪問並且還具有公開可用的PoC漏洞利用。攻擊首先在易受攻擊的服務 (Identity Manager) 上執行PowerShell命令,該服務會啟動一個stager。然後,stager從命令和控制 (C2) 服務器以高度混淆的形式獲取PowerTrash加載程序,並將 Core Impact代理加載到系統內存中。
Core Impact是一種合法的滲透測試工具,在這種情況下被濫用於惡意目的,類似於Cobalt Strike在惡意活動中的部署方式。不過,這也不是什麼新鮮事,趨勢科技過去曾報告過APT35 濫用Core Impact,該活動可追溯到2015年。
在採訪中,Morphisec首席技術官Michael Gorelik表示,攻擊者嘗試在網絡上橫向移動,儘管後門被阻止。通過特權訪問,這些類型的攻擊可能會夠繞過一些特有的防禦措施,包括防病毒(AV)和端點檢測和響應(EDR)。
Morphisec能夠檢索到stager服務器的C2地址、Core Impact 客戶端版本和用於 C2 通信的 256 位加密密鑰,最終查詢到這些操作可能跟名為Ivan Neculiti的特定人員和名為 Stark Industries的公司有關聯。
在欺詐暴露數據庫中,BleepingComputer發現了幾家公司,這些公司將Neculiti 列為合伙人或受益人。該數據庫包括一家託管公司,據稱該公司支持用於垃圾郵件和網絡釣魚活動的非法網站。目前尚不清楚Neculiti或關聯公司是否以任何方式(有意或無意)參與了網絡犯罪活動。
不過,近期BleepingComputer收到了來自PQ Hosting SRL的最新聲明,該公司總部位於摩爾多瓦,是Stark Industries的母公司,他們否認了故意參與非法活動,「我們有超過15,000名活躍客戶,其中當然有我們正在打擊的入侵者。沒有一家託管公司能夠倖免於這樣的事實,即明天同樣的攻擊者會來找他們。創建Stark Industries公司只是為了向我們的經銷商提供白標,他們可以更輕鬆地轉售我們的服務,而不是因為我們隱藏任何東西。」
參考來源
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-vmware-rce-flaw-to-install-backdoors/
精彩推薦
留言列表