mercredi, 21 février 2024

Le ransomware Cactus se propage via la plateforme BI Qlik Sense

Selon Arctic Wolf, c’est la toute première fois que des vulnérabilités de Qlik Sense sont réellement exploitées pour accéder à des systèmes permettant de propager le ransomware Cactus. Dans cette attaque, les pirates utilisent un mélange de vulnérabilités connues dans la plateforme d’analyse cloud et de BI. Il s’agit plus précisément des vulnérabilités CVE-2023-41266, CVE-2023-41265 et peut-être CVE-2023-48365. Ces vulnérabilités sont utilisées pour exécuter du code à distance et, dans ce cas, pour propager le ransomware Cactus.

Chemin d’attaque

Examiner ce qui se passe après une utilisation réussie dans Qlik Sense, les spécialistes de la sécurité ont découvert que les pirates utilisaient alors, entre autres, le service Qlik Sense Scheduler. De plus, ils ont abusé de PowerShell et du Background Intelligent Transfer Service (BITS) pour télécharger d’autres outils. Grâce à cet outil, ils ont eu la possibilité d’effectuer des performances de suivi à distance.

Déploiement du ransomware Cactus

De plus, des activités suspectes ont été observées, démontrant le déploiement et l’exploitation du ransomware Cactus. . Ces activités suspectes comprenaient l’utilisation de RDP pour le mouvement latéral, le téléchargement de l’analyseur de disque WizTree et le déploiement de rclone pour l’exfiltration de données.

D’autres actions nuisibles comprenaient la libération de ManageEngine UEMS et AnyDesk pour un accès à distance, la désinstallation active du logiciel Sophos, la modification le mot de passe administrateur et la configuration d’un tunnel RDP via Plink.

Arctic Wolf est toujours en train d’examiner un incident survenu avec un client. Le professionnel de la sécurité a montré que plus de détails seront révélés plus tard.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici