调查发现,高级黑客正在积极利用影响VMware Workspace ONE Access(以前称为 VMware Identity
Manager)的关键远程代码执行(RCE)漏洞CVE-2022-22954。庆幸的是,该问题已在20天前的安全更新中得到解决,不过另外两个编号为RCE -
CVE-2022-22957和CVE-2022-22958的漏洞也会影响VMware Identity Manager (vIDM)、VMware
vRealize Automation (vRA)、VMware Cloud Foundation 和vRealize Suite生命周期管理控制台。
在漏洞被公开后不久,PoC漏洞代码便出现在公共空间,使黑客得以利用这些代码攻击部分易受攻击的VMware产品,随后VMware也确认了CVE-2022-22954
在野被利用。现在,Morphisec的研究人员报告说,他们看到了高级持续威胁(APT)参与者也在利用这些漏洞,特别是编号为APT35、又名“火箭小猫”的伊朗黑客组织。
攻击细节
攻击者通过利用CVE-2022-22954获得对环境的初始访问权限,这是RCE三人组中唯一一个不需要对目标服务器进行管理访问并且还具有公开可用的PoC漏洞利用。攻击首先在易受攻击的服务
(Identity Manager) 上执行PowerShell命令,该服务会启动一个stager。然后,stager从命令和控制 (C2)
服务器以高度混淆的形式获取PowerTrash加载程序,并将 Core Impact代理加载到系统内存中。
Core Impact是一种合法的渗透测试工具,在这种情况下被滥用于恶意目的,类似于Cobalt
Strike在恶意活动中的部署方式。不过,这也不是什么新鲜事,趋势科技过去曾报告过APT35 滥用Core Impact,该活动可追溯到2015年。
在采访中,Morphisec首席技术官Michael
Gorelik表示,攻击者尝试在网络上横向移动,尽管后门被阻止。通过特权访问,这些类型的攻击可能会够绕过一些特有的防御措施,包括防病毒(AV)和端点检测和响应(EDR)。
Morphisec能够检索到stager服务器的C2地址、Core Impact 客户端版本和用于 C2 通信的 256
位加密密钥,最终查询到这些操作可能跟名为Ivan Neculiti的特定人员和名为 Stark Industries的公司有关联。
在欺诈暴露数据库中,BleepingComputer发现了几家公司,这些公司将Neculiti
列为合伙人或受益人。该数据库包括一家托管公司,据称该公司支持用于垃圾邮件和网络钓鱼活动的非法网站。目前尚不清楚Neculiti或关联公司是否以任何方式(有意或无意)参与了网络犯罪活动。
不过,近期BleepingComputer收到了来自PQ Hosting SRL的最新声明,该公司总部位于摩尔多瓦,是Stark
Industries的母公司,他们否认了故意参与非法活动,“我们有超过15,000名活跃客户,其中当然有我们正在打击的入侵者。没有一家托管公司能够幸免于这样的事实,即明天同样的攻击者会来找他们。创建Stark
Industries公司只是为了向我们的经销商提供白标,他们可以更轻松地转售我们的服务,而不是因为我们隐藏任何东西。”
参考来源:https://www.bleepingcomputer.com/news/security/hackers-exploit-
critical-vmware-rce-flaw-to-install-backdoors/
网安&黑客学习资料包
基于最新的kali讲解,循序渐进地对黑客攻防剖析。适合不同层次的粉丝。我希望能为大家提供切实的帮助,讲解通俗易懂,风趣幽默,风格清新活泼,学起来轻松自如,酣畅淋漓!
需要的话可以扫码领取CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
移动端逆向学习
需要的话可以点击**CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享**
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
需要的话可以点击**CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享**
面试题资料
独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
需要的话可以扫码领取CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享