VMware の重大な脆弱性を悪用して、ランサムウェアやマイナーをインストールしていることが発覚

セキュリティリサーチャーは、VMware Workspace One Access の重大な脆弱性を利用して、パスワードで保護されたアーカイブ内のファイルをロックする RAR1Ransom ツールなど、さまざまなマルウェアを配信する悪意のある攻撃が行われていることを発表しました。

攻撃で利用された問題は CVE-2022-22954 で、サーバー側のテンプレートインジェクションによって引き起こされるリモートコード実行の脆弱性です。

サイバーセキュリティ企業 Fortinet の研究者は、最新の攻撃で、攻撃者が分散型サービス拒否 (DDoS) 攻撃のために Mira ボットネット、暗号通貨マイナー GuardMiner、および RAR1Ransom ツールを展開していることに気付きました。

VMware は、4 月 6 日にこの脆弱性が公開されたときにセキュリティアップデートをリリースしました。概念実証 (PoC) エクスプロイトが公開されると、製品はすぐに攻撃者の標的になりました。

開示から 2 週間以内にAPT35 (別名 Rocket Kitten) による CVE-2022-22954 の悪用が脆弱なサーバーのバックドアに対して活発に行われていることを報告しました。

5 月には、AT&T Alien Labs からのレポートで、 EnemyBotの標的となるバグのリストにこの欠陥が追加されていることが警告されました。

Table of contents

新しい攻撃

8 月以降、フォーティネットは攻撃の変化を確認し、標的を絞ったデータ窃取の試みから、クリプトマイナー、ファイルロッカー、Mirai の亜種からの DDoS 参加へと変化しました。

興味深いケースの 1 つは、Linux および Windows システムを対象とする Bash および PowerShell スクリプトのペアです。スクリプトは、侵害されたマシンで起動するファイルのリストを読み取ります。

PowerShell スクリプト (「init.ps1」) は、Cloudflare IPFS ゲートウェイから次のファイルをダウンロードします。

Cloudflare リソースが何らかの理由で利用できない場合、マルウェアは「crustwebsites[.]net」のバックアップリンクを使用します。

RAR1Ransom は、WinRAR を悪用して被害者のファイルを圧縮し、パスワードでロックする単純なランサムウェアツールです。

RAR1Ransom は、ほとんどのランサムウェアと同様に、特定のファイルタイプのリストに対してこれを実行し、最終的に「rar1」拡張子を追加します。

最終的に、マルウェアは提供されたウォレットアドレスに 2 XMR の支払いを要求する身代金メモを投下します。これは、現在では約 140 ドルに相当します。

暗号化は行われませんが、有効なパスワードがないとファイルを利用できません。

Fortinet によると、攻撃者は身代金メモにある同じ Monero アドレスを使用して、侵害された Windows または Linux ホストで GuardMiner を使用して暗号通貨をマイニングします。

Fortinet は 2020 年に GuardMiner について最初に報告し、初期アクセスの脆弱性を悪用し、PowerShell コマンドを実行し、スケジュールされたタスクと新しいアカウントを追加して持続性を確立できる本格的なトロイの木馬であると説明しました。

最近の攻撃で使用された亜種では、セキュリティテスト用の GitHub リポジトリからエクスプロイトを取得して使用することで、「networkmanager.exe」モジュールを介して GuardMiner が他のホストに拡散する可能性があります。

VMware は数か月前に CVE-2022-22954 の修正プログラムをリリースしましたが、Fortinet のレポートは、多くのシステムが脆弱なままであることを示しています。

RAR1Ransom を含めることで企業がデータ損失のリスクにさらされる一方で、危険性は現在、限定的な標的型攻撃から、マルウェアセット全体を使用した大規模な感染に移行しています。