多个广告系列利用Vmware漏洞部署Crypto Mininger和Ransomware

已观察到VMware Workspace ONE Access中的一个漏洞正在被利用，以在受影响的计算机上同时交付加密货币挖掘程序和勒索软件。

飞塔FortiGuard Labs研究员卡拉·林( Cara Lin )在周四的一份报告中说，攻击者打算尽可能利用受害者的资源，不仅安装RAR1Ransom进行勒索，还传播GuardMiner收集加密货币。

该问题被跟踪为CVE – 2022-22954 ( CVSS评分: 9.8分)，它涉及一个远程代码执行漏洞，该漏洞源于服务器端模板注入的情况。尽管虚拟化服务提供商在2022年4月解决了这一缺陷，但它在野外已经受到了积极的利用。

飞塔说，它在2022年8月观察到的攻击试图将缺陷武器化，以便在Linux设备上部署Mirai僵尸网络，以及XMRig Monero矿工的一个变种RAR1Ransom和GuardMiner。

  Mirai样本从远程服务器检索，旨在通过使用默认凭据列表，针对知名物联网设备发起拒绝服务( DoS )和暴力攻击。

另一方面，RAR1Ransom和GuardMiner的分发是通过PowerShell或shell脚本实现的，具体取决于操作系统。RAR1ransom还可以利用合法的WinRAR实用程序将文件锁定在密码保护的档案中。

此外，GuardMiner还提供了通过利用其他软件(包括Apache Struts、艾特莱森软件Conflux和Spring Cloud Gateway中的远程代码执行漏洞)的漏洞向其他主机传播的功能。

这些发现再次提醒我们，恶意软件活动继续积极利用最近披露的缺陷来闯入未修补的系统，这使得用户必须优先应用必要的安全更新来减轻这些威胁。