В этих атаках, после успешной эксплуатации недостатков следует использование сервиса Qlik Sense Scheduler для установки дополнительных инструментов с целью получения удаленного управления.
Хакеры, с высокой долей вероятности, используются 3 ключевые в данном случае уязвимости – туннелирования HTTP-запросов, обхода пути (Path Traversal) и уязвимость удаленного выполнения кода (Remote Code Execution, RCE) без проверки подлинности.
Также было выявлено, что киберпреступники удаляли ПО Sophos, меняли пароль учетной записи администратора и создавали RDP-туннель через Plink. Цепочки атак завершаются внедрением программы-вымогателя CACTUS, при этом злоумышленники также используют rclone для кражи данных.
Отличительная черта CACTUS – это использование шифрования для защиты двоичного файла программы-вымогателя. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip. Исходный ZIP-архив затем удаляется, а двоичный файл развертывается с определенным флагом, который позволяет ему выполняться. Эксперты полагают, что это делается для предотвращения обнаружения шифровальщика-вымогателя.
Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» уверена, что обнаружение очередной атаки на приложение, широко распространенное во многих компаниях, в очередной раз напомнит нам о том, что к защите информации нужно подходить комплексно. «Сегодня важно выбирать решения, способные защитить инфраструктуру на разных уровнях. Так, например, необходимо пользоваться одним или несколькими решениями, позволяющими защитить как внешний, так и внутренний периметр. Безусловно, на отечественном рынке есть решения, сочетающие в себе контроль доступа в сеть, контроль конфигураций АСО и ОС, контроль целостности ОС и гипервизоров, оптимизацию правил межсетевых экранов, контроль уязвимостей и построение векторов атак. Хорошая новость в том, что, как раз, на такие решения сейчас и наблюдается повышенный спрос, а значит многие компании уже приняли необходимые меры защиты», – говорит Юлия Парфенова.