4月 14 日至 15 日,研究人员发现利用已修复的 VMware Workspace ONEAccess(以前称为 VMware Identity Manager)远程代码执行 (RCE) 漏洞的攻击活动。由于存在复杂的Core Impact利用迹象,研究人员推测APT 组织是这些攻击事件的幕后黑手。攻击中使用的战术、技术和程序在伊朗的Rocket Kitten 等团伙中很常见。
VMWare是一个价值300亿美元的云计算和虚拟化平台,被全球 500000 家组织使用。利用此 RCE 漏洞,攻击者可以对虚拟环境的任何组件的最高权限的访问。受影响的公司面临安全漏洞、赎金、品牌损害和诉讼等方面的问题。
这个新的漏洞是一个影响Apache Tomcat 组件的服务器端模板注入,其可在主机服务器上执行恶意命令。作为攻击链的一部分,研究团队已经识别并阻止了作为合法Tomcat prunsrv.exe进程应用程序的子进程执行的PowerShell命令。具有网络访问权限的攻击者可以利用这一漏洞实现对VMware的身份访问管理的完全远程代码执行。Workspace ONE Access提供了多因素认证、有条件访问以及对SaaS、Web和本地移动应用的单点登录。
这次攻击非常迅速:
-
4月6日发布了针对最初漏洞的补丁
-
4月11日,出现了一个攻击的概念证明
-
4月13日,在野外发现了漏洞利用
攻击者可以利用这一攻击来安装勒索软件或加密矿工,作为其初始访问、横向移动或权限提升的一部分。最新研究观察到攻击者已经利用这个漏洞来启动反向HTTPS后门,主要是Cobalt Strike、Metasploit或Core Impact。通过特权访问,这些类型的攻击能够绕过传统的防御措施,包括防病毒(AV)以及终端检测和响应(EDR)。
后文详细分析了这种新的攻击。
攻击细节
技术分析
完整的攻击链
攻击者通过利用 VMWare Identity Manager Service 漏洞获得对系统的初始访问权限。然后,攻击者安装一个 PowerShell stager 来下载下一阶段恶意软件 PowerTrashLoader。最后,高级渗透测试框架 Core Impact 被注入到内存中。
VMWARE 身份管理器的漏洞
研究团队之前揭露了攻击者如何利用 VMWare 的 Horizon Tomcat 服务的攻击。攻击者现在正在利用另一个 VMWare 组件,即 VMWare Identity Manager 服务。
最近,该服务的几个漏洞已被报告:
|
CVE-2022-22958 |
VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含两个远程代码执行漏洞(CVE-2022-22957 和 CVE-2022-22958)。具有管理访问权限的恶意行为者可以通过恶意 JDBC URI 触发不受信任的数据的反序列化,这可能导致远程代码执行。 |
|
CVE-2022-22957 |
VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含两个远程代码执行漏洞(CVE-2022-22957 和 CVE-2022-22958)。具有管理访问权限的恶意行为者可以通过恶意 JDBC URI 触发不受信任的数据的反序列化,这可能导致远程代码执行。 |
|
CVE-2022-22954 |
VMware Workspace ONE Access and Identity Manager包含一个由于服务器端模板注入导致的远程代码执行漏洞。具有网络访问权限的恶意行为者可以触发服务器端模板注入,可能导致远程代码执行。 |
虽然 CVE-2022-22957 和 CVE-2022-22958 是 RCE 漏洞,但它们需要对服务器的管理访问权限。然而,CVE-2022-22954则不需要,并且已经在野外有一个开源的概念证明。
POWERSHELL STAGER
攻击者利用该服务并运行以下 PowerShell 命令:
以 base64 编码的 Stager
解码后为:
解码的 Stager
正如在最后看到的,这是一个编码命令,其中每个字符都减1。这样就得到了下载下一阶段的 URL:
解码 #2 stager
POWERTRASH LOADER
PowerTrashLoader 是一个高度混淆的 PowerShell 脚本,包含大约 40,000 行代码。
PowerTrash 加载程序的片段
这个loader解压缩payload,并将其加载到内存中,而不会在磁盘上留下取证证据。之前看到过 PowerTrash Loader 安装 JSSLoader。
这次,最终的payload不同,是Core Impact Agent。
CORE IMPACT AGENT
CoreImpact 是由Core Security 开发的渗透测试框架。与其它渗透测试框架一样,这些框架并不总是用于善意的活动。TrendMicro报告称,与 Rocket Kitten APT35 相关的Woolen-GoldFish 活动使用了 Core Impact 的修改版本。
研究人员可以提取位于嵌入字符串中的 C2 地址、客户端版本和通信加密密钥:
C2服务器:185.117.90[.]187
客户端版本:7F F7 FF 83(十六进制)
256位密钥:cd19dbaa04ea4b61ace6f8cdfe72dc99a6f807bcda39ceab2fefd1771d44ad288b76bc20eaf9ee26c9a175bb055f0f2eb800ae6010ddd7b509e061651ab5e883d491244f8c04cbc645717043c74722bee317754ea1df13e446ca9b1728f1389785daecf915ce27f6806c7bfa2b5764e88e2957d2e9fcfd79597b3421ea4b5e6f(ASCII)
其它威胁关系
对 Stager 服务器进行反向查找会发现在伦敦注册的名为“StarkIndustries”的新网络托管服务器。
Stager服务器IP反向查找结果
该公司于 2022 年 2 月注册,与一个名叫Ivan Neculiti的人有关联:
suite.endole.co.uk 中的 Ivan Neculiti 身份
在hucksters.net上有他专门的个人资料页面,揭露了垃圾邮件发送者、欺诈者和其他不良行为者。
Ivan因拥有用于恶意和非法活动的网络托管公司而臭名昭著。其中包括 pq[.]hosting,与 stark-industries[.] 解决方案相关联。
网络托管公司之间的相关性
IoC
Stage1服务网址:
hxxp://138.124.184[.]220/work_443.bin_m2.ps1
Stage2 -work_443.bin_m2.ps1:
746FFC3BB7FBE4AD229AF1ED9B6E1DB314880C0F9CB55AEC5F56DA79BCE2F79B
Stage3 - CoreImpact:
7BC14D231C92EEEB58197C9FCA5C8D029D7E5CF9FBFE257759F5C87DA38207D9
C2 服务器:
185.117.90[.]187
抵御此类攻击
VMWare身份访问管理的广泛使用与此类攻击不受限制的远程访问相结合,是跨行业破坏性漏洞的特点。任何使用 VMWare 身份访问管理的人都应该立即应用 VMWare 发布的补丁。无法立即应用补丁的组织应考虑虚拟补丁。VMWare 客户还应该审查他们的 VMware 架构,以确保受影响的组件不会意外发布到网络上,这会大大增加利用风险。
https://blog.morphisec.com/vmware-identity-manager-attack-backdoor
原文始发于微信公众号(维他命安全):利用VMware漏洞CVE-2022-22954的攻击活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论