调查发现,高级黑客正在积极利用影响VMwareWorkspaceONEAccess(前身为VMwareIdentityManager)的远程代码执行(RCE)关键漏洞CVE-2022-22954。值得庆幸的是,该问题已在20天前的安全更新中得到解决,但跟踪RCE的另外两个漏洞CVE-2022-22957和CVE-2022-22958也影响了VMwareIdentityManager(vIDM)、VMwarevRealizeAutomation(vRA)、VMwareCloudFoundation和vRealizeSuite生命周期管理控制台。漏洞公开后不久,PoC漏洞代码出现在公共空间,允许黑客利用该代码攻击部分易受攻击的VMware产品,VMware随后确认CVE-2022-22954被野蛮利用。现在,Morphisec的研究人员报告说,他们发现高级持续威胁(APT)参与者也在利用这些漏洞,特别是被称为APT35的伊朗黑客组织,又名RocketKittens。攻击详情攻击者通过利用CVE-2022-22954获得了对环境的初始访问权限,这是RCE三重奏中唯一不需要对目标服务器进行管理访问并且还具有公开可用的PoC漏洞利用的一个。攻击首先在易受攻击的服务(IdentityManager)上执行PowerShell命令,这会启动一个stager。然后,stager从命令和控制(C2)服务器以高度混淆的形式获取PowerTrash加载程序,并将CoreImpact代理加载到系统内存中。CoreImpact是一种合法的渗透测试工具,在这种情况下被滥用于恶意目的,类似于CobaltStrike在恶意活动中的部署方式。不过,这并不是什么新鲜事,趋势科技过去曾报告过APT35滥用CoreImpact,该活动可追溯到2015年。在采访中,Morphisec首席技术官MichaelGorelik表示,攻击者试图在网络中横向移动,尽管后门是阻止。通过特权访问,这些类型的攻击可能能够绕过一些独特的防御措施,包括防病毒(AV)和端点检测和响应(EDR)。Morphisec能够检索到stager服务器的C2地址、CoreImpact客户端的版本以及用于C2通信的256位加密密钥,最后发现这些操作可能与一个名叫IvanNeculiti的特定人有关,并且一家名为StarkIndustries的公司。在欺诈曝光数据库中,BleepingComputer发现了几家将Neculiti列为合作伙伴或受益人的公司。该数据库包括一家托管公司,据称该公司支持用于垃圾邮件和网络钓鱼活动的非法网站。目前尚不清楚Neculiti或其关联公司是否以任何方式(有意或无意)参与了网络犯罪。不过,近日BleepingComputer收到了总部位于摩尔多瓦的StarkIndustries母公司PQHostingSRL的最新声明,他们否认有意从事非法活动,“我们有超过15000名活跃客户,当然我们正在打击入侵者。没有一家托管公司能幸免于明天同样的攻击者会来找他们。StarkIndustries公司的创建只是为了向我们的经销商提供一个白标,他们可以更容易地转售我们的服务,而不是因为我们隐藏了任何东西。”参考来源:https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-vmware-rce-flaw-to-install-backdoors/
