CACTUS Ransomware, Hedefli Saldırılarda Qlik Sense Güvenlik Açıklarından Yararlanıyor

Bir CACTUS fidye yazılımı, hedeflenen ortamlara bir dayanak elde etmek için Qlik Sense adlı bir bulut analizi ve iş zekası platformunda yakın zamanda açıklanan güvenlik açıklarından yararlandığı gözlemlendi.

"Bu kampanya, belgelenen ilk örneği işaret ediyor [...] CACTUS fidye yazılımını dağıtan tehdit aktörleri, ilk erişim için Qlik Sense'teki güvenlik açıklarından yararlandı," dedi Arctic Wolf araştırmacıları Stefan Hostetler, Markus Neis ve Kyle Pagelow.

Yazılımın istismar edilmesinin "birkaç örneğine" yanıt verdiğini söyleyen siber güvenlik şirketi, saldırıların muhtemelen son üç ayda açıklanan üç kusurdan yararlandığını belirtti.

CVE-2023-41265 (CVSS puanı: 9,9) - Uzaktaki bir saldırganın ayrıcalıklarını yükseltmesine ve depo uygulamasını barındıran arka uç sunucusu tarafından yürütülen istekler göndermesine olanak tanıyan bir HTTP İsteği Tünelleme güvenlik açığı.
CVE-2023-41266 (CVSS puanı: 6,5) - Kimliği doğrulanmamış bir uzak saldırganın HTTP isteklerini yetkisiz uç noktalara iletmesine izin veren bir yol geçişi güvenlik açığı.
CVE-2023-48365 (CVSS puanı: 9,9) - HTTP başlıklarının yanlış doğrulanması nedeniyle ortaya çıkan ve uzaktaki bir saldırganın HTTP isteklerini tünelleyerek ayrıcalıklarını yükseltmesine olanak tanıyan, kimliği doğrulanmamış bir uzaktan kod yürütme güvenlik açığı.

CVE-2023-48365'in, CVE-2023-41266 ile birlikte Praetorian tarafından Ağustos 2023'ün sonlarında açıklanan CVE-2023-41265 için tamamlanmamış bir yamanın sonucu olduğunu belirtmekte fayda var. CVE-2023-48365 için bir düzeltme 20 Eylül 2023 tarihinde gönderildi.

Arctic Wolf tarafından gözlemlenen saldırılarda, kusurların başarılı bir şekilde kötüye kullanılmasını, kalıcılık sağlamak ve uzaktan denetimi ayarlamak amacıyla ek araçlar indirmek üzere tasarlanmış süreçler oluşturmak için Qlik Sense Scheduler hizmetinin kötüye kullanılması takip eder.

Buna ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk ve Plink dahildir. Tehdit aktörlerinin ayrıca Sophos yazılımını kaldırdığı, yönetici hesabı parolasını değiştirdiği ve Plink aracılığıyla bir RDP tüneli oluşturduğu gözlemlendi.

Saldırı zincirleri, CACTUS fidye yazılımının konuşlandırılmasıyla sonuçlanır ve saldırganlar ayrıca veri hırsızlığı için rclone kullanır.

Sürekli Gelişen Fidye Yazılımı Ortamı

Açıklama, fidye yazılımı tehdidi ortamının daha karmaşık hale gelmesi ve yeraltı ekonomisinin, kurban sistemlerine erişimi birkaç bağlı aktöre yeniden satan ilk erişim aracıları ve botnet sahiplerinden oluşan bir ağ aracılığıyla geniş ölçekte saldırıları kolaylaştıracak şekilde gelişmesiyle geldi.

Endüstriyel siber güvenlik firması Dragos tarafından derlenen verilere göre, endüstriyel kuruluşları etkileyen fidye yazılımı saldırılarının sayısı 2023'ün ikinci çeyreğinde 253 iken üçüncü çeyrekte 231'e geriledi. Buna karşılık, yalnızca Ekim 2023 ayı için tüm sektörlerde 318 fidye yazılımı saldırısı bildirildi.

Dünyanın dört bir yanındaki hükümetlerin fidye yazılımlarıyla mücadele etme çabalarına rağmen, hizmet olarak fidye yazılımı (RaaS) iş modeli, hedeflerden zorla para almak için kalıcı ve kazançlı bir yol olmaya devam etti.

Elliptic ve Corvus Insurance tarafından yayınlanan yeni ortak araştırmaya göre, Nisan 2022'de sahneye çıkan üretken bir fidye yazılımı grubu olan Black Basta'nın, 90'dan fazla kurbandan en az 107 milyon dolarlık Bitcoin fidye ödemesi elde ettiği tahmin ediliyor.

Bu gelirlerin çoğu, Nisan 2022'de ABD hükümeti tarafından Hydra darknet pazarıyla işlemleri kolaylaştırdığı için yaptırım uygulanan bir Rus kripto para borsası olan Garantex aracılığıyla aklandı.

Dahası, analiz, Black Basta'yı, fidye yazılımını dağıtmak için kullanılan QakBot'un yanı sıra, şu anda feshedilmiş olan Rus siber suç grubu Conti'ye bağlayan kanıtları ortaya çıkardı.

Elliptic, "Fidye miktarının yaklaşık %10'u, kurbana erişim sağlamaya dahil oldukları durumlarda Qakbot'a iletildi" dedi ve "Conti bağlantılı cüzdanlardan Black Basta operatörüyle ilişkili olanlara kadar birkaç milyon dolar değerinde Bitcoin'in izini sürdüklerini" de sözlerine ekledi.