В апреле компания VMware исправила уязвимость CVE-2022-22954. Она приводит к инъекции шаблонов на стороне сервера из-за отсутствия санитарии параметров "deviceUdid" и "devicetype". Это позволяет злоумышленникам внедрить полезную нагрузку и добиться удаленного выполнения кода на VMware Workspace ONE Access and Identity Manager. В апреле FortiGuard Labs опубликовала об этом отчет Threat Signal Report, а также разработала сигнатуру IPS.
С тех пор FortiNet наблюдали атаки в дикой природе. Большинство полезных нагрузок направлено на поиск конфиденциальных данных жертвы, например, паролей, файла hosts и т.д. Но в августе появилось несколько особых полезных нагрузок, которые заинтересовали нас. Это были Mirai, нацеленный на открытые сетевые устройства под управлением Linux, RAR1ransom, использующий легитимный WinRaR для установки шифрования, и GuardMiner - вариант xmrig, используемый для "добычи" Monero.
Indicators of Compromise
SHA256
- 0212b447c25e9db55f7270e1e2a45846e2261445474845997a314cb1ddeea4f7
- 23270d23f8485e3060f6ea8c9879177781098b1ed1b5117579d2f4d309aeffd2
- 4761e5d9bd3ebe647fbd7840b7d2d9c1334bde63d5f6b05a4ed89af7aa3a6eab
- 4b3578ee9e81f356a89ff2e1aff6bbee8441472869b0c6c4792fc9fd486a0df5
- 4b4c0d3cb708612b1fdb0394e029e507e4c0f6136fc44e415200694624ed5b68
- 66db83136c463441ea56fb1b5901c505bcd1ed52a73e23d7298f7055db2108d1
- 7fc7c242ad1fa439e515725561a9e304b3d94e40ba91f61df77471a4c2ff2b39
- 9c00823295f393358762542418bb767b44cfe285c4ab33e7e57902c6e1c2dacb
- a372e07a691f8759e482615fd7624bfca2a2bc2cd8652a47ff9951ff035759a5
- f2a6827ea5f60cefc2f6528269b2d1557a7cc1e68f84edca4029e819dd0509cb