เมื่อพูดถึงการใช้ข้อบกพร่องที่เป็นที่รู้จักใน VMware Workspace One Access ในทางที่ผิด ผู้คุกคามได้ตัดสินใจที่จะเพิ่ม ante โดยการนำแรนซัมแวร์เข้ามาผสมผสาน
รายงานของ Fortinet ซึ่งศึกษาวิวัฒนาการของการโจมตีในเดือนสิงหาคมปีนี้ ชี้ให้เห็นถึงข้อบกพร่องใหม่ในผลิตภัณฑ์ VMware: ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลเนื่องจากการแทรกรูปแบบฝั่งเซิร์ฟเวอร์
ข้อบกพร่องถูกระบุว่าเป็น CVE-2022-22954 และในไม่ช้าก็พบว่ามีภัยคุกคามที่รู้จัก APT35 (หรือที่รู้จักในชื่อ Rocket Kitten) กำลังใช้งานอยู่ หนึ่งเดือนต่อมา EnemyBot ก็กระโดดขึ้นไปบน bandwagon ด้วย ผู้คุกคามหลายคนใช้ข้อบกพร่องในการติดตั้ง Mira botnet สำหรับการโจมตี DDoS หรือ GuardMiner เพื่อทำเหมือง cryptocurrency สำหรับผู้โจมตี
ป้อนค่าไถ่ RAR1
ขณะนี้ Fortinet ได้สังเกตเห็นว่ามีการใช้ข้อบกพร่องในการปรับใช้เครื่องมือ RAR1Ransom BleepingComputer อธิบายว่ามันเป็น "เครื่องมือแรนซัมแวร์ธรรมดา (เปิดในแท็บใหม่)" ที่ใช้ WinRAR ในทางที่ผิดเพื่อบีบอัดไฟล์ของเหยื่อและล็อคไฟล์เหล่านั้นด้วยรหัสผ่าน เมื่องานเสร็จสิ้น ให้นามสกุล .rar1 ให้กับไฟล์ที่ถูกล็อคทั้งหมด ในการรับรหัสผ่าน เหยื่อจะต้องจ่ายเงิน 2 XMR ซึ่งมีมูลค่าประมาณ 290 ยูโร
เป็นที่น่าสังเกตว่านี่ไม่ใช่แรนซัมแวร์รูปแบบ "คลาสสิก" เนื่องจากไม่ได้เข้ารหัสไฟล์จริงๆ แต่เพียงล็อคไฟล์เหล่านั้นไว้ในไฟล์ที่มีการป้องกันด้วยรหัสผ่าน
Fortinet ยังพบว่าที่อยู่ XMR ที่เหยื่อต้องจ่ายคือที่อยู่เดียวกับที่ใช้ใน GuardMiner
VMware ได้แก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกลเมื่อหลายเดือนก่อน แต่ดูเหมือนว่าบางองค์กรยังไม่ได้แก้ไขจุดสิ้นสุดและยังคงเสี่ยงต่อการโจมตีจำนวนมากขึ้นเรื่อยๆ ได้แก้ไขข้อบกพร่องพร้อมกับช่องโหว่อื่นๆ สองสามรายการในเดือนเมษายน และเรียกร้องให้ผู้ใช้ไม่ดำเนินการแก้ไขที่มีให้ในขณะนั้น:
“วิธีแก้ปัญหาแม้จะใช้งานได้จริง แต่ก็ไม่ได้กำจัดช่องโหว่และอาจก่อให้เกิดความซับซ้อนเพิ่มเติมที่แพตช์จะไม่แนะนำ” บริษัทเตือน “แม้ว่าการตัดสินใจแพตช์หรือใช้วิธีแก้ไขปัญหาจะเป็นของคุณ แต่ VMware ยังคงแนะนำอย่างยิ่งให้แพตช์เป็นวิธีที่ง่ายที่สุดและน่าเชื่อถือที่สุดในการแก้ไขปัญหานี้”
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)