仙人掌勒索軟體

網路安全研究人員警告稱，CACTUS 勒索軟體活動利用了雲端分析和商業智慧平台 Qlik Sense 中新披露的安全漏洞。此活動代表了一個值得注意的進展，因為它標誌著第一個有記錄的案例，其中利用CACTUS 勒索軟體的惡意行為者利用Qlik Sense 中的漏洞作為其主要方法來獲得對目標環境的初始訪問權限。這凸顯了威脅行為者利用流行軟體平台的弱點進行未經授權的存取和潛在的資料外洩所採用的不斷演變的策略。

CACTUS 勒索軟體是透過多個軟體漏洞傳播的

網路安全分析師發現了一系列攻擊，這些攻擊似乎利用了三個已揭露的漏洞，持續了幾個月：

• CVE-2023-41265（CVSS 評分：9.9） - 此漏洞涉及 HTTP 請求隧道，使遠端攻擊者能夠提升其權限並發送由託管儲存庫應用程式的後端伺服器執行的請求。
• CVE-2023-41266（CVSS 評分：6.5） - 路徑遍歷漏洞，允許未經驗證的遠端攻擊者將 HTTP 請求傳輸到未經授權的端點。
• CVE-2023-48365（CVSS 評分：9.9） - 由於 HTTP 標頭驗證不當而導致的未經身份驗證的遠端程式碼執行漏洞，允許遠端攻擊者透過隧道傳輸 HTTP 請求來提升其權限。

值得注意的是，CVE-2023-48365 是 CVE-2023-41265 補丁不完整的結果。這兩個漏洞以及 CVE-2023-41266 均於 2023 年 8 月下旬披露，並於 2023 年 9 月 20 日實施了 CVE-2023-48365 的修復。

在觀察到的 CACTUS 勒索軟體攻擊中，已識別的漏洞被利用，導致 Qlik Sense Scheduler 服務被濫用。這使得攻擊者能夠產生旨在下載附加工具的進程，目的是建立持久性並設定遠端控制。

這些攻擊涉及的其他工具包括 ManageEngine 統一端點管理和安全性 (UEMS)、AnyDesk 和 Plink。值得注意的是，我們觀察到威脅行為者卸載 Sophos 軟體、更改管理員帳戶密碼以及透過 Plink 建立 RDP 隧道。攻擊鏈最終導致 CACTUS 勒索軟體的部署，攻擊者也利用克隆進行資料外洩。這種全面的攻擊策略凸顯了 CACTUS 勒索軟體活動的複雜性和多階段性。

勒索軟體威脅參與者正在改進他們的技術

CACTUS 勒索軟體的出現反映了勒索軟體威脅情勢的日益複雜。地下經濟已經發展到透過初始訪問經紀人和殭屍網路所有者網路支持大規模攻擊。這些實體將受害者係統的存取權限轉售給多個附屬參與者，從而導致勒索軟體威脅的擴大。

儘管各國政府在全球範圍內努力打擊勒索軟體，但勒索軟體即服務 (RaaS) 商業模式仍然是一種從目標勒索錢財的彈性且有利可圖的方法。這種模式的壽命和獲利能力持續存在，使威脅行為者能夠適應並繼續其非法活動。

一個著名的勒索軟體組織Black Basta於 2022 年 4 月進入現場，估計已從 90 多名受害者那裡透過比特幣贖金支付了超過 1.07 億美元的非法利潤。最近的聯合研究顯示，這些資金的很大一部分是透過 Garantex 進行洗錢的，Garantex 是一家俄羅斯加密貨幣交易所，因促進 Hydra 暗網市場的交易而於 2022 年 4 月受到美國政府的製裁。

此外，分析還發現了 Black Basta 與現已解散的俄羅斯網路犯罪組織Conti 之間的聯繫，該組織在 Black Basta 出現的同時停止了運作。此外，還確定了與部署勒索軟體的工具QakBot的連結。這個錯綜複雜的關聯網絡凸顯了現代勒索軟體操作的複雜性和相互關聯性。