Một lỗ hổng bảo mật hiện đã được vá trong VMware Workspace ONE Access đã được quan sát thấy đang bị khai thác để cung cấp cả máy khai thác tiền điện tử và ransomware trên các máy bị ảnh hưởng.
Nhà nghiên cứu Cara Lin của Fortinet FortiGuard Labs cho biết: “Kẻ tấn công có ý định sử dụng tài nguyên của nạn nhân nhiều nhất có thể, không chỉ để cài đặt RAR1Ransom để tống tiền mà còn phát tán GuardMiner để thu thập tiền điện tử”.
Vấn đề, được theo dõi là CVE-2022-22954 (điểm CVSS: 9,8), liên quan đến lỗ hổng thực thi mã từ xa bắt nguồn từ một trường hợp chèn mẫu phía máy chủ.
Mặc dù thiếu sót đã được nhà cung cấp dịch vụ ảo hóa giải quyết vào tháng 4 năm 2022, nhưng kể từ đó nó đã bị khai thác tích cực.
Fortinet cho biết họ đã quan sát thấy vào tháng 8 năm 2022 các cuộc tấn công tìm cách vũ khí hóa lỗ hổng để triển khai mạng botnet Mirai trên các thiết bị Linux cũng như RAR1Ransom và GuardMiner, một biến thể của công cụ khai thác XMRig Monero.
Mẫu Mirai được truy xuất từ một máy chủ từ xa và được thiết kế để khởi chạy các cuộc tấn công từ chối dịch vụ (DoS) và bạo lực nhằm vào các thiết bị IoT nổi tiếng bằng cách sử dụng danh sách thông tin xác thực mặc định.
Mặt khác, việc phân phối RAR1Ransom và GuardMiner được thực hiện bằng PowerShell hoặc tập lệnh shell tùy thuộc vào hệ điều hành. RAR1ransom cũng đáng chú ý vì đã tận dụng tiện ích WinRAR hợp pháp để bắt đầu quá trình mã hóa.
Phát hiện này là một lời nhắc nhở khác rằng các chiến dịch phần mềm độc hại tiếp tục tích cực khai thác các lỗ hổng được tiết lộ gần đây để xâm nhập vào các hệ thống chưa được vá, điều quan trọng là người dùng phải ưu tiên áp dụng các bản cập nhật bảo mật cần thiết để giảm thiểu các mối đe dọa như vậy.
