黑客借助关键的VMware RCE漏洞安装后门
发布时间:2022-04-29 10:10:01 所属栏目:安全 来源:互联网
导读:调查发现,高级黑客正在积极利用影响VMware Workspace ONE Access(以前称为 VMware Identity Manager)的关键远程代码执行(RCE)漏洞CVE-2022-22954。庆幸的是,该问题已在20天前的安全更新中得到解决,不过另外两个编号为RCE - CVE-2022-22957和CVE-2022-2295
|
调查发现,高级黑客正在积极利用影响VMware Workspace ONE Access(以前称为 VMware Identity Manager)的关键远程代码执行(RCE)漏洞CVE-2022-22954。庆幸的是,该问题已在20天前的安全更新中得到解决,不过另外两个编号为RCE - CVE-2022-22957和CVE-2022-22958的漏洞也会影响VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA)、VMware Cloud Foundation 和vRealize Suite生命周期管理控制台。 Core Impact是一种合法的渗透测试工具,在这种情况下被滥用于恶意目的,类似于Cobalt Strike在恶意活动中的部署方式。不过,这也不是什么新鲜事,趋势科技过去曾报告过APT35 滥用Core Impact,该活动可追溯到2015年。 在采访中,Morphisec首席技术官Michael Gorelik表示,攻击者尝试在网络上横向移动,尽管后门被阻止。通过特权访问,这些类型的攻击可能会够绕过一些特有的防御措施,包括防病毒(AV)和端点检测和响应(EDR)。 Morphisec能够检索到stager服务器的C2地址、Core Impact 客户端版本和用于 C2 通信的 256 位加密密钥,最终查询到这些操作可能跟名为Ivan Neculiti的特定人员和名为 Stark Industries的公司有关联。 在欺诈暴露数据库中,BleepingComputer发现了几家公司,这些公司将Neculiti 列为合伙人或受益人。该数据库包括一家托管公司,据称该公司支持用于垃圾邮件和网络钓鱼活动的非法网站。目前尚不清楚Neculiti或关联公司是否以任何方式(有意或无意)参与了网络犯罪活动。 不过,近期BleepingComputer收到了来自PQ Hosting SRL的最新声明,该公司总部位于摩尔多瓦,是Stark Industries的母公司,他们否认了故意参与非法活动,“我们有超过15,000名活跃客户,其中当然有我们正在打击的入侵者。没有一家托管公司能够幸免于这样的事实,即明天同样的攻击者会来找他们。创建Stark Industries公司只是为了向我们的经销商提供白标,他们可以更轻松地转售我们的服务,而不是因为我们隐藏任何东西。” (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐