威胁行为体利用VMware Workspace ONE Access中的关键缺陷来丢弃勒索软件、矿工

在VMware Workspace ONE Access中，威胁行为体正积极利用现已修补的漏洞CVE – 2022 – 22954来提供加密货币矿工和赎金。

由于未对参数”设备Udid “和”设备类型”进行净化处理，导致服务器端模板注入。攻击者可触发该漏洞注入有效负载，并在VMware Workspace ONE Access and Identity Manager上实现远程代码执行。

飞塔FortiGuard实验室的研究人员在野外观察到的攻击主要是为了窃取敏感数据。8月，专家们发现了一些特殊的有效载荷，用于部署Mirai样本，目标是运行Linux的公开网络设备。参与攻击的Mirai变种被用来发动DoS和暴力攻击。

其他载荷用于传递RAR1ransom和GuardMiner Cryptominer，后者是xmrig的变种。RAR1Ransom和GuardMiner恶意软件通过使用PowerShell或shell脚本分发，具体取决于操作系统。

  “我们可以告诉攻击者打算尽可能多地利用受害者的资源，不仅安装RAR1Ransom进行勒索，还可以传播GuardMiner来收集加密货币。”

尽管CVE – 2022 – 22954的关键漏洞已在4月份被修补，但仍有多个恶意软件活动试图利用它。用户应始终保持系统的更新和修补，并了解环境中的任何可疑过程。这些Mirai变种、RAR1Ransom和GuardMiner并不是非常复杂的样本，但它们的方法总是在变化和发展。