在最近的攻击中

最后更新 :2022.04.27

已经观察到伊朗链接的APT组火箭小猫,利用最近修补的CVE-2022-22954 VMware缺陷。

已经观察到与伊朗相关的火箭小猫APT组,利用最近修补的CVE-2022-22954 VMware Workspace Workspace一个访问缺陷以部署核心影响后门。

CVE-2022-22954漏洞是服务器端模板注射远程代码执行问题,严重性为9.8。

“ VMware Workspace Workspace One访问和身份管理器包含远程代码执行漏洞到服务器端模板注入。VMware评估了此问题的严重性在“临界严重性范围”中,最高CVSSV3基本得分为9.8。”读取“安全咨询”。“具有网络访问的恶意演员可以触发服务器端模板注入,可能导致远程代码执行。”

在4月中旬,虚拟化巨头报告说威胁交流TOR正在积极利用VMware Workspace One访问和身份经理的关键脆弱性。

在4月14日至15日,MorphiSec研究人员发现了试图利用VMware缺陷的攻击,BleepingComputer的研究人员还报告了黑客尝试。]

利用这种RCE脆弱性的恶意演员可能会获得无限的攻击表面。这意味着在虚拟化主机和来宾环境的任何组件中获得最高特权访问。受影响的公司面临严重的安全漏洞,赎金,品牌损失和诉讼。阅读发表的《 morphisec Labs》帖子。作为攻击链的一部分,MorphiSec已确定并阻止了作为儿童进程执行的PowerShell命令,以合法的tomcat prunsrv.exe流程应用程序。

威胁参与者试图通过利用VMware身份身份来实现目标环境的初始访问权限经理服务问题,然后他们部署了下载的PowerShell StagerE下一个阶段有效载荷由动力压装配音配音。

动力压力装载机是一个笨拙的powershell脚本,大约40,000行代码。

在攻击链的最后阶段,动力压装载器将穿透性测试框架注入内存中的渗透测试框架核心影响。123]
VMware APT Iran

morphisec将攻击归因于基于威胁参与者使用的策略,技术和程序的伊朗Apt Rocket小猫。



]

总结说,该攻击提供的VMware身份访问管理的广泛使用与不受限制的远程访问相结合,是跨行业造成破坏的秘诀。VMware客户还应审查其VMware体系结构,以确保不会在互联网上意外发布该受影响的组件,这大大增加了剥削风险。
,请投票赞成安全事务作为最佳欧洲网络CybersecuRity Blogger颁奖2022投票给您的获奖者在“弱者最佳个人(非商业)安全博客”和Tech Whiz最佳技术博客和其他选择的其他节中为我投票。提名,请访问:请访问: https://docs.google.com/forms/d/e/1faipqlsfxxrximz9qm9iipumqic-iomqic-iom-npqmosfznjxrbqrbqryjgcryjgcryjgcow/viewform/viewform

- END -

看更多