仙人掌勒索软件

网络安全研究人员警告称，CACTUS 勒索软件活动利用了云分析和商业智能平台 Qlik Sense 中新披露的安全漏洞。该活动代表了一个值得注意的进展，因为它标志着第一个有记录的案例，其中利用 CACTUS 勒索软件的恶意行为者利用 Qlik Sense 中的漏洞作为其主要方法来获得对目标环境的初始访问权限。这凸显了威胁行为者利用流行软件平台的弱点进行未经授权的访问和潜在的数据泄露所采用的不断演变的策略。

CACTUS 勒索软件是通过多个软件漏洞传播的

网络安全分析师发现了一系列攻击，这些攻击似乎利用了三个已披露的漏洞，持续了几个月：

• CVE-2023-41265（CVSS 评分：9.9） - 此漏洞涉及 HTTP 请求隧道，使远程攻击者能够提升其权限并发送由托管存储库应用程序的后端服务器执行的请求。
• CVE-2023-41266（CVSS 评分：6.5） - 路径遍历漏洞，允许未经身份验证的远程攻击者将 HTTP 请求传输到未经授权的端点。
• CVE-2023-48365（CVSS 评分：9.9） - 由于 HTTP 标头验证不当而导致的未经身份验证的远程代码执行漏洞，允许远程攻击者通过隧道传输 HTTP 请求来提升其权限。

值得注意的是，CVE-2023-48365 是 CVE-2023-41265 补丁不完整的结果。这两个漏洞以及 CVE-2023-41266 均于 2023 年 8 月下旬披露，并于 2023 年 9 月 20 日实施了 CVE-2023-48365 的修复。

在观察到的 CACTUS 勒索软件攻击中，已识别的漏洞被利用，导致 Qlik Sense Scheduler 服务被滥用。这使得攻击者能够生成旨在下载附加工具的进程，目的是建立持久性并设置远程控制。

这些攻击涉及的其他工具包括 ManageEngine 统一端点管理和安全 (UEMS)、AnyDesk 和 Plink。值得注意的是，我们观察到威胁行为者卸载 Sophos 软件、更改管理员帐户密码以及通过 Plink 创建 RDP 隧道。攻击链最终导致 CACTUS 勒索软件的部署，攻击者还利用克隆进行数据泄露。这种全面的攻击策略凸显了 CACTUS 勒索软件活动的复杂性和多阶段性。

勒索软件威胁参与者正在改进他们的技术

CACTUS 勒索软件的出现反映了勒索软件威胁形势的日益复杂。地下经济已经发展到通过初始访问经纪人和僵尸网络所有者网络支持大规模攻击。这些实体将受害者系统的访问权限转售给多个附属参与者，从而导致勒索软件威胁的扩大。

尽管各国政府在全球范围内努力打击勒索软件，但勒索软件即服务 (RaaS) 商业模式仍然是一种从目标勒索钱财的弹性且有利可图的方法。这种模式的寿命和盈利能力持续存在，使威胁行为者能够适应并继续其非法活动。

一个著名的勒索软件组织Black Basta于 2022 年 4 月进入现场，估计已从 90 多名受害者那里通过比特币赎金支付了超过 1.07 亿美元的非法利润。最近的联合研究显示，这些资金的很大一部分是通过 Garantex 进行洗钱的，Garantex 是一家俄罗斯加密货币交易所，因促进 Hydra 暗网市场的交易而于 2022 年 4 月受到美国政府的制裁。

此外，分析还发现了 Black Basta 与现已解散的俄罗斯网络犯罪组织Conti 之间的联系，该组织在 Black Basta 出现的同时停止了运营。此外，还确定了与用于部署勒索软件的工具QakBot的联系。这种错综复杂的关联网络凸显了现代勒索软件操作的复杂性和相互关联性。