【安全资讯】多个活动利用 VMware 漏洞部署加密矿工和勒索软件

已观察到 VMware Workspace ONE Access 中一个现已修补的漏洞被用来在受影响的机器上提供加密货币矿工和勒索软件。

“攻击者打算尽可能多地利用受害者的资源，不仅安装 RAR1Ransom 进行勒索，还传播 GuardMiner 以收集加密货币，”Fortinet FortiGuard 实验室研究员 Cara Lin 在周四的一份报告中说。

该问题被跟踪为 CVE-2022-22954（CVSS 评分：9.8），涉及一个源自服务器端模板注入案例的远程代码执行漏洞。尽管这家虚拟化服务提供商在 2022 年 4 月解决了这一缺陷，但此后一直在野外受到积极利用。

Fortinet 表示，它在 2022 年 8 月观察到攻击，这些攻击试图利用该漏洞将 Mirai 僵尸网络部署在 Linux 设备以及 RAR1Ransom 和 GuardMiner（XMRig Monero 矿工的变体）上。

Mirai 样本是从远程服务器检索的，旨在通过使用默认凭据列表来发起针对知名物联网设备的拒绝服务 (DoS) 和暴力攻击。

另一方面，RAR1Ransom 和 GuardMiner 的分发是通过 PowerShell 或 shell 脚本实现的，具体取决于操作系统。RAR1ransom 还因利用合法的 WinRAR 实用程序将文件锁定在受密码保护的档案中而著称。

此外，GuardMiner 具有传播到其他主机的能力，可以利用其他软件中的许多远程代码执行漏洞，包括 Apache Struts、Atlassian Confluence 和 Spring Cloud Gateway 中的漏洞。

这些发现再次提醒人们，恶意软件活动继续积极利用最近披露的漏洞侵入未修补的系统，因此用户必须优先应用必要的安全更新来缓解此类威胁。

参考链接：
[1]https://thehackernews.com/2022/10/multiple-campaigns-exploit-vmware.html