Опытные хакеры активно используют критическую уязвимость удаленного выполнения кода (RCE) CVE-2022-22954, которая затрагивает VMware Workspace ONE Access (ранее называвшийся VMware Identity Manager).
Проблема была устранена в обновлении безопасности 20 дней назад вместе с еще двумя RCE — CVE-2022-22957 и CVE-2022-22958, которые также затрагивают VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation и Менеджер жизненного цикла vRealize Suite.
Вскоре после публичного раскрытия уязвимостей в открытом доступе появился код эксплойта PoC, позволяющий хакерам атаковать уязвимые развертывания продуктов VMware. VMware подтвердила факт эксплуатации CVE-2022-22954.
Теперь исследователи из Morphisec сообщают, что наблюдают за эксплуатацией со стороны субъектов продвинутой постоянной угрозы (APT), в частности, иранской хакерской группы, отслеживаемой как APT35, также известной как «Rocket Kitten».
Детали атаки
Злоумышленники получают первоначальный доступ к среде, используя CVE-2022-22954, единственную из трио RCE, которая не требует административного доступа к целевому серверу, а также имеет общедоступный эксплойт PoC.
Атака начинается с выполнения команды PowerShell на уязвимой службе (Identity Manager), которая запускает стейджер.
Затем стейджер получает загрузчик PowerTrash с сервера управления и контроля (C2) в сильно запутанной форме и загружает агент Core Impact в системную память.
Схема атаки APT35 (Morphisec)Иван Ковалев
VIAЗа свои 80 с небольшим у.е. танк Happy Cow i-Spy Tank оказался очень оригинальным и приятным во многих смыслах
За короткое время, после того, как Apple объявила о своей функции Face ID для iPhone X, возникло множество вопросов о
Smart Lock можно использовать с любым устройством Bluetooth, таким как Chromebook или умная колонка, но использовать
