itkvariat
itkvariat
Вход

    Хакеры эксплуатируют критические уязвимости VMware для установки "бэкдоров"


    от: 26-04-2022 17:05 | раздел: Новости


    Опытные хакеры активно используют критическую уязвимость удаленного выполнения кода (RCE) CVE-2022-22954, которая затрагивает VMware Workspace ONE Access (ранее называвшийся VMware Identity Manager).

    Проблема была устранена в обновлении безопасности 20 дней назад вместе с еще двумя RCE — CVE-2022-22957 и CVE-2022-22958, которые также затрагивают VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation и Менеджер жизненного цикла vRealize Suite.

    Вскоре после публичного раскрытия уязвимостей в открытом доступе появился код эксплойта PoC, позволяющий хакерам атаковать уязвимые развертывания продуктов VMware. VMware подтвердила факт эксплуатации CVE-2022-22954.

    Теперь исследователи из Morphisec сообщают, что наблюдают за эксплуатацией со стороны субъектов продвинутой постоянной угрозы (APT), в частности, иранской хакерской группы, отслеживаемой как APT35, также известной как «Rocket Kitten».

    Детали атаки

    Злоумышленники получают первоначальный доступ к среде, используя CVE-2022-22954, единственную из трио RCE, которая не требует административного доступа к целевому серверу, а также имеет общедоступный эксплойт PoC.

    Атака начинается с выполнения команды PowerShell на уязвимой службе (Identity Manager), которая запускает стейджер.

    Затем стейджер получает загрузчик PowerTrash с сервера управления и контроля (C2) в сильно запутанной форме и загружает агент Core Impact в системную память.

    Схема атаки APT35 (Morphisec)

    Core Impact — это законный инструмент тестирования на проникновение, который в данном случае используется в гнусных целях, подобно тому, как Cobalt Strike развертывается в вредоносных кампаниях.

    Однако это не новый элемент. Trend Micro ранее сообщала о злоупотреблениях Core Impact со стороны APT35, активность которых началась еще в 2015 году.

    «Исследования Morphisec показали, что злоумышленники уже используют эту уязвимость (CVE-2022-22954) для запуска обратных бэкдоров HTTPS — в основном маяков Cobalt Strike, Metasploit или Core Impact», — отметили в Morphisec

    «При привилегированном доступе эти типы атак могут быть в состоянии обойти типичные средства защиты, включая антивирус (AV) и обнаружение и реагирование конечных точек (EDR)», — добавляет Morphisec в отчете.


    Иван Ковалев

    VIA





    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




    И еще об интересном...
  • Intel расширяет серию процессоров vPro линейкой 12-го поколения
  • Итоги второго дня PHDays 8: Games Over
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • Как Microsoft создает Xbox One X - самую мощную игровую консоль в мире (+видео)
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • LG G6: большой тест - обзор
  • Игровая гарнитура Kingston HyperX Cloud Stinger


    • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил

Самое популярное

Microsoft начинает блокировать доступ к рабочей электронной почте для некоторых пользователей Intune

Microsoft начинает блокировать доступ к рабочей электронной почте для некоторых пользователей Intune


5 ошибок при выборе встраиваемой духовки, которые стоили людям ужина по мнению «Лемана ПРО»

5 ошибок при выборе встраиваемой духовки, которые стоили людям ужина по мнению «Лемана ПРО»


Особенный телефон: как выгодно и осознанно купить Айфон 15

Особенный телефон: как выгодно и осознанно купить Айфон 15


В чем преимущества iPhone 16 Pro Max?

В чем преимущества iPhone 16 Pro Max?


NVMe в VPS/VDS в 2025 году: почему «SSD» перестал быть гарантией скорости и что проверять у провайдера

NVMe в VPS/VDS в 2025 году: почему «SSD» перестал быть гарантией скорости и что проверять у провайдера


Проверьте скорость вашего интернета!


Что бывало...
Наши друзья
Сервисный центр Five Service

Магазин кабелей и аксессуаров UGREEN

Самоклейкин

Смарт



Хакеры эксплуатируют критические уязвимости VMware для установки "бэкдоров"


от: 26-04-2022 17:05 | раздел: Новости


Опытные хакеры активно используют критическую уязвимость удаленного выполнения кода (RCE) CVE-2022-22954, которая затрагивает VMware Workspace ONE Access (ранее называвшийся VMware Identity Manager).

Проблема была устранена в обновлении безопасности 20 дней назад вместе с еще двумя RCE — CVE-2022-22957 и CVE-2022-22958, которые также затрагивают VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation и Менеджер жизненного цикла vRealize Suite.

Вскоре после публичного раскрытия уязвимостей в открытом доступе появился код эксплойта PoC, позволяющий хакерам атаковать уязвимые развертывания продуктов VMware. VMware подтвердила факт эксплуатации CVE-2022-22954.

Теперь исследователи из Morphisec сообщают, что наблюдают за эксплуатацией со стороны субъектов продвинутой постоянной угрозы (APT), в частности, иранской хакерской группы, отслеживаемой как APT35, также известной как «Rocket Kitten».

Детали атаки

Злоумышленники получают первоначальный доступ к среде, используя CVE-2022-22954, единственную из трио RCE, которая не требует административного доступа к целевому серверу, а также имеет общедоступный эксплойт PoC.

Атака начинается с выполнения команды PowerShell на уязвимой службе (Identity Manager), которая запускает стейджер.

Затем стейджер получает загрузчик PowerTrash с сервера управления и контроля (C2) в сильно запутанной форме и загружает агент Core Impact в системную память.

Схема атаки APT35 (Morphisec)

Core Impact — это законный инструмент тестирования на проникновение, который в данном случае используется в гнусных целях, подобно тому, как Cobalt Strike развертывается в вредоносных кампаниях.

Однако это не новый элемент. Trend Micro ранее сообщала о злоупотреблениях Core Impact со стороны APT35, активность которых началась еще в 2015 году.

«Исследования Morphisec показали, что злоумышленники уже используют эту уязвимость (CVE-2022-22954) для запуска обратных бэкдоров HTTPS — в основном маяков Cobalt Strike, Metasploit или Core Impact», — отметили в Morphisec

«При привилегированном доступе эти типы атак могут быть в состоянии обойти типичные средства защиты, включая антивирус (AV) и обнаружение и реагирование конечных точек (EDR)», — добавляет Morphisec в отчете.


Иван Ковалев

VIA





Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




И еще об интересном...
  • Intel расширяет серию процессоров vPro линейкой 12-го поколения
  • Итоги второго дня PHDays 8: Games Over
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • Как Microsoft создает Xbox One X - самую мощную игровую консоль в мире (+видео)
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • LG G6: большой тест - обзор
  • Игровая гарнитура Kingston HyperX Cloud Stinger


    • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат (АйТиквариат) Powered by © 1996-2025