Le ransomware Cactus exploite les failles de Qlik Sense pour pirater les réseaux

Le ransomware Cactus exploite des vulnérabilités critiques de la solution d'analyse de données Qlik Sense pour obtenir un accès initial aux réseaux d'entreprise.

Qlik Sense prend en charge plusieurs sources de données et permet aux utilisateurs de créer des rapports de données personnalisés ou des visualisations interactives pouvant servir aux processus de prise de décision. Le produit peut fonctionner à la fois localement ou dans le cloud.

Fin août, le fournisseur a publié mises à jour de sécurité pour deux vulnérabilités critiques affectant la version Windows de la plateforme. L'une des vulnérabilités, un bug de traversée de chemin suivi comme CVE-2023-41266pourrait être exploité pour générer des sessions anonymes et effectuer des requêtes HTTP vers des points de terminaison non autorisés.

Publicité

Le deuxième problème, suivi comme CVE-2023-41265 et avec une gravité critique de 9,8, ne nécessite pas d'authentification et peut être exploité pour élever les privilèges et exécuter des requêtes HTTP sur le serveur principal qui héberge l'application.

Le 20 septembre, Qlik a découvert que le correctif pour CVE-2023-41265 était insuffisant fourni une nouvelle mise à jouren suivant le problème comme une vulnérabilité distincte identifiée comme CVE-2023-48365.

Dans un récent rapportla société de cybersécurité Arctic Wolf met en garde contre le ransomware Cactus qui exploite activement ces failles sur des instances Qlik Sense exposées publiquement et qui ne sont toujours pas corrigées.

Campagne contre le rançongiciel Cactus

Les attaques du ransomware Cactus observées par Arctic Wolf exploitent les problèmes de sécurité pour exécuter du code qui amène le service Qlik Sense Scheduler à lancer de nouveaux processus.

Les attaquants utilisent PowerShell et le Background Intelligent Transfer Service (BITS) pour télécharger des outils qui établissent la persistance et fournissent un accès à distance à la machine :

  • Exécutables ManageEngine UEMS déguisés en fichiers Qlik
  • AnyDesk récupéré directement sur le site officiel
  • Un binaire Plink (PuTTY Link) renommé « putty.exe »

De plus, les attaquants exécutent plusieurs commandes de découverte avec la sortie redirigée vers des fichiers .TTF, qui, selon les chercheurs d'Artic Wolf, servent à obtenir la sortie de la commande via une traversée de chemin.

L'auteur de la menace a également utilisé diverses méthodes pour rester caché et collecter des informations, telles que la désinstallation de l'antivirus Sophos, la modification du mot de passe de l'administrateur et l'établissement d'un tunnel RDP à l'aide de l'outil de connexion en ligne de commande Plink.

Dans la dernière étape de l’attaque, les pirates ont déployé le ransomware Cactus sur les systèmes piratés.

Des preuves supplémentaires recueillies par les analystes d'Arctic Wolf suggèrent que les auteurs de la menace ont utilisé RDP pour se déplacer latéralement, WizTree pour analyser l'espace disque et rclone (déguisé en « svchost.exe ») pour exfiltrer des données.

L’utilisation de ces outils et techniques est conforme à ce que les chercheurs ont observé lors des précédentes attaques du ransomware Cactus.

Pour atténuer les risques de violation, Qlik recommande de mettre à niveau vers les versions suivantes de Sense Enterprise pour Windows :

  • Mise à jour 2 d'août 2023
  • Mise à jour 6 de mai 2023
  • Février 2023 Patch 10
  • Mise à jour 12 de novembre 2022
  • Mise à jour 14 d'août 2022
  • Mise à jour 16 de mai 2022
  • Mise à jour 15 de février 2022
  • Mise à jour 17 de novembre 2021

Le ransomware Cactus est apparu en mars de cette année et a adopté la tactique de la double extorsion, volant les données des victimes puis les cryptant sur les systèmes compromis. Lors d’attaques précédentes, ils ont exploité les failles du VPN Fortinet pour l’accès initial au réseau.

Dans un rapport publié en mai, les chercheurs de Kroll ont distingué l'opération du ransomware en raison de l'utilisation du cryptage pour protéger le binaire du malware contre la détection par les produits de sécurité.

Les chercheurs ont également souligné l'utilisation de l'application de bureau à distance AnyDesk, l'outil rclone pour envoyer les données volées aux services de stockage cloud et l'utilisation de scripts batch pour désinstaller les produits de sécurité.

4.4/5 - (11 votes)
Publicité
Article précédentSekura Mobile explique comment elle est passée de start-up à géant de la technologie
Article suivantL'événement The Big Bang de Fortnite a été une explosion de marketing pour l'avenir multi-genre du jeu
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici