Es wurde beobachtet, dass eine inzwischen gepatchte Sicherheitslücke in VMware Workspace ONE Access ausgenutzt wurde, um Kryptowährungs-Miner und Ransomware auf den betroffenen Rechnern zu installieren.
„Der Angreifer beabsichtigt, die Ressourcen des Opfers so weit wie möglich auszunutzen, nicht nur um RAR1Ransom zur Erpressung zu installieren, sondern auch um GuardMiner zum Sammeln von Kryptowährung zu verbreiten“, so Fortinet FortiGuard Labs-Forscherin Cara Lin in einem Bericht vom Donnerstag.
Die Schwachstelle mit der Bezeichnung CVE-2022-22954 (CVSS-Score: 9.8) betrifft eine Sicherheitslücke bei der Remote-Code-Ausführung, die auf eine serverseitige Template-Injection zurückzuführen ist.
Obwohl der Anbieter von Virtualisierungsdiensten die Schwachstelle im April 2022 behoben hat, wird sie seitdem aktiv ausgenutzt.
Fortinet beobachtete im August 2022 Angriffe, bei denen die Schwachstelle genutzt wurde, um das Mirai-Botnetz auf Linux-Geräten zu installieren, sowie RAR1Ransom und GuardMiner, eine Variante des Monero-Miners XMRig.
Das Mirai-Beispiel wird von einem entfernten Server abgerufen und dient dazu, Denial-of-Service (DoS)- und Brute-Force-Angriffe auf bekannte IoT-Geräte zu starten, indem es eine Liste von Standard-Anmeldeinformationen verwendet.
Die Verbreitung von RAR1Ransom und GuardMiner hingegen erfolgt je nach Betriebssystem über eine PowerShell oder ein Shell-Skript. RAR1ransom nutzt außerdem das legitime Programm WinRAR, um den Verschlüsselungsprozess zu starten.
Die Ergebnisse sind ein weiterer Hinweis darauf, dass Malware-Kampagnen nach wie vor aktiv Schwachstellen ausnutzen, um in ungepatchte Systeme einzudringen, so dass die Benutzer/innen unbedingt die notwendigen Sicherheitsupdates installieren müssen, um solche Bedrohungen zu entschärfen.