CACTUS 勒索软件利用 Qlik Sense 漏洞进行针对性攻击

据观察，CACTUS 勒索软件活动利用最近披露的名为 Qlik Sense 的云分析和商业智能平台中的安全漏洞，在目标环境中获得立足点。

Arctic Wolf 研究人员 Stefan Hostetler、Markus Neis 和 Kyle Pagelow表示：“此次活动标志着第一个有记录的实例，部署 CACTUS 勒索软件的威胁行为者利用 Qlik Sense 中的漏洞进行初始访问。”

这家网络安全公司表示正在对利用该软件的“几起事件”做出回应，并指出这些攻击很可能利用了过去三个月中披露的三个缺陷 -

CVE-2023-41265（CVSS 评分：9.9） - HTTP 请求隧道漏洞，允许远程攻击者提升其权限并发送由托管存储库应用程序的后端服务器执行的请求。
CVE-2023-41266（CVSS 评分：6.5） - 路径遍历漏洞，允许未经身份验证的远程攻击者将 HTTP 请求传输到未经授权的端点。
CVE-2023-48365（CVSS 评分：9.9）- 由于 HTTP 标头验证不当而产生的未经身份验证的远程代码执行漏洞，允许远程攻击者通过隧道传输 HTTP 请求来提升权限。
值得注意的是，CVE-2023-48365 是CVE-2023-41265不完整补丁的结果，该补丁与 CVE-2023-41266 一起由 Praetorian 于2023 年 8 月下旬披露。CVE-2023-48365 的修复程序已于2023 年 9 月 20 日发布。

网络安全
在 Arctic Wolf 观察到的攻击中，成功利用这些缺陷后，会滥用 Qlik Sense Scheduler 服务来生成旨在下载其他工具的进程，目的是建立持久性并设置远程控制。

这包括 ManageEngine 统一端点管理和安全 (UEMS)、AnyDesk 和 Plink。我们还观察到威胁行为者卸载 Sophos 软件、更改管理员帐户密码以及通过 Plink 创建 RDP 隧道。

攻击链最终导致 CACTUS 勒索软件的部署，攻击者还使用 rclone 进行数据泄露。

不断发展的勒索软件格局#
此次披露是在勒索软件威胁形势变得更加复杂的情况下进行的，地下经济已经发展到通过初始访问经纪人和僵尸网络所有者网络来促进大规模攻击，这些经纪人和僵尸网络所有者将受害者系统的访问权转售给几个附属参与者。

根据工业网络安全公司 Dragos 编制的数据，影响工业组织的勒索软件攻击数量从 2023 年第二季度的 253 起下降到第三季度的 231 起。相比之下，仅 2023 年 10 月，各行业就报告了318 起勒索软件攻击。

尽管世界各国政府不断努力应对勒索软件，但勒索软件即服务 (RaaS) 商业模式仍然是从目标勒索金钱的持久且有利可图的途径。

Black Basta是一个多产的勒索软件组织，于 2022 年 4 月出现，根据 Elliptic 和乌鸦座保险。

网络安全
其中大部分收益是通过俄罗斯加密货币交易所Garantex进行洗钱的，该交易所因促进 Hydra 暗网市场的交易而于 2022 年 4 月受到美国政府制裁。

更重要的是，分析发现了将 Black Basta 与现已解散的俄罗斯网络犯罪组织Conti以及用于部署勒索软件的QakBot联系在一起的证据，该组织大约在 Black Basta 出现的同时停止了活动。

Elliptic 指出：“在 Qakbot 参与向受害者提供访问权限的情况下，大约 10% 的赎金金额被转发给了 Qakbot。”并补充说，它“从 Conti关联的钱包中追踪到了价值数百万美元的比特币，这些比特币与黑巴斯塔操作员。”