VMware Workspace ONE Access’te şu anda yamalı bir güvenlik açığının, etkilenen makinelerde hem kripto para birimi madencileri hem de fidye yazılımı sağlamak için kullanıldığı gözlemlendi.
Fortinet FortiGuard Labs araştırmacısı Cara Lin, “Saldırgan, yalnızca gasp için RAR1Ransom’u yüklemek için değil, aynı zamanda kripto para toplamak için GuardMiner’ı yaymak için kurbanın kaynaklarını mümkün olduğunca kullanmayı amaçlıyor.” söz konusu Perşembe raporunda.
CVE-2022-22954 (CVSS puanı: 9.8) olarak izlenen sorun, sunucu tarafı şablon ekleme durumundan kaynaklanan bir uzaktan kod yürütme güvenlik açığı ile ilgilidir.
Eksiklik, sanallaştırma hizmetleri sağlayıcısı tarafından Nisan 2022’de ele alınmasına rağmen, o zamandan beri vahşi ortamda aktif olarak sömürülmüştür.
Fortinet, Ağustos 2022’de, Mirai botnet’i Linux cihazlarına ve RAR1Ransom’a dağıtmak için kusuru silahlandırmaya çalışan saldırıları gözlemlediğini söyledi. Muhafız MadenciXMRig Monero madencisinin bir çeşidi.
Mirai örneği uzak bir sunucudan alınır ve varsayılan kimlik bilgilerinin bir listesini kullanarak iyi bilinen IoT cihazlarına yönelik hizmet reddi (DoS) ve kaba kuvvet saldırılarını başlatmak üzere tasarlanmıştır.
RAR1Ransom ve GuardMiner’ın dağıtımı ise işletim sistemine bağlı olarak bir PowerShell veya bir kabuk betiği aracılığıyla sağlanır. RAR1ransom, şifreleme işlemini başlatmak için meşru WinRAR yardımcı programından yararlanma açısından da dikkate değerdir.
Bulgular, kötü amaçlı yazılım kampanyalarının, yama uygulanmamış sistemlere girmek için yakın zamanda açıklanan kusurlardan aktif olarak yararlanmaya devam ettiğini ve kullanıcıların bu tür tehditleri azaltmak için gerekli güvenlik güncellemelerini uygulamaya öncelik vermesini zorunlu hale getirdiğini bir kez daha hatırlatıyor.