De Cactus-ransomware wordt actief verspreid via het cloudanalytics- en BI-platform Qlik Sense. Dit ontdekten de securityspecialisten van Arctic Wolf Labs onlangs.
Volgens Arctic Wolf is het de eerste keer dat kwetsbaarheden in Qlik Sense worden misbruikt om toegang tot systemen te krijgen voor het verspreiden van de Cactus-ransomware. In deze aanval misbruiken de hackers een combinatie van bekende kwetsbaarheden in het cloudanalytics- en BI-platform. Dit zijn specifiek de kwetsbaarheden CVE-2023-41266, CVE-2023-41265 en mogelijk ook CVE-2023-48365. Deze kwetsbaarheden worden misbruikt voor het op afstand draaien van code, in dit geval dus het verspreiden van de Cactus-ransomware.
Aanvalstraject
Uit onderzoek van wat er na een succesvolle exploit in Qlik Sense plaatsvindt, ontdekten de securityspecialisten dat hackers vervolgens onder meer de Qlik Sense Scheduler service gebruikten. Daarnaast misbruikten zij PowerShell en de Background Intelligent Transfer Service (BITS) voor het downloaden van andere tooling. Met die tooling verkregen zij de mogelijjkheid om op afstand controlefunctionaliteit te kunnen uitvoeren.
Uitrollen Cactus-ransomware
Daarnaast werden dus verdachte activiteiten waargenomen die duidden op de uitrol en exploitatie van de Cactus-ransomware. Deze verdachte activiteiten waren onder meer het gebruik van RDP voor laterale bewegingen, het downloaden van de WizTree disk analyzer en de inzet van rclone voor data-exfiltratie.
Overige kwaadaardige handelingen waren het uitrollen van ManageEngine UEMS en AnyDesk voor toegang op afstand, het actief deïnstalleren van Sophos-software, het veranderen van het admin-wachtwoord en het opzetten van een RDP-tunnel via Plink.
Arctic Wolf is nog druk bezig het incident te onderzoeken, nu het bij een klant werd aangetroffen. In een later stadium komen hierover meer details naar buiten, geeft de securityspecialist aan.
Lees ook: Cybersecurity in 2023: is het vijf voor of vijf over twaalf?
2 dagen geleden
