من المحتمل أن يكون هناك فريق من المكبرات الإلكترونية الإيرانية التي يطلق عليها اسم Rocket Kitten ، لأحدها ، وراء محاولات لاستغلال ثغرة في تنفيذ الرمز البعيد في برنامج إدارة هوية VMware ، وفقًا لشركة Endpoint Security Morphisec.
في وقت سابق من هذا الشهر ، كشفت VMware عن عيب الأمان وثباته ، والذي تم تتبعه كـ CVE-2022-22954 ، في برنامج Works One Access and Identity Manager. فيما يتعلق بشدة CVSS ، تم تصنيف الخطأ على 9.8 من أصل 10. نلاحظ أن عملاق المحاكاة الافتراضية قامت بمراجعة استشاريها في هذا الموضوع في 13 أبريل ليقول إن Mistcreans استغلوا الضعف في البرية.
يتضمن الخلل حقن قالب من جانب الخادم ، ويمكن إساءة استخدامه من قبل أي شخص لديه وصول الشبكة. يستغل الاستغلال بشكل أساسي الطريق للمتسللين لنشر البرامج الفدية وسرقة البيانات وأداء أي أعمال قذرة أخرى.
يعد العثور على ثغرة أمنية في منصة VMware واستغلالها جذابًا بشكل خاص بسبب وصول الشركة الواسع إلى كل مؤسسة على هذا الكوكب. تستخدم أكثر من 500000 منظمة على مستوى العالم برنامج المحاكاة الافتراضية والحوسبة السحابية ، وفقًا للبائع.
قامت VMware بتصحيح برنامجها المعيب في 6 أبريل ، ولم يتخلف المهاجمون. ظهر استغلال إثبات المفهوم في 11 أبريل ، وبعد يومين شوهد استغلال ضار في البرية ، وفقًا لمورفيسيك.
ادعى تحليل متجر الأمن ، الذي نُشر هذا الأسبوع ، أن مجموعات التهديدات المستمرة المتقدمة تقف وراء الاستغلال ، واستخدمت الضعف لتثبيت Backdoors المستندة إلى HTTPS في شبكات الضحايا. كما لاحظوا أن “التكتيكات والتقنيات والإجراءات المستخدمة في الهجوم شائعة بين مجموعات مثل الصاروخ الصاروخي الإيراني المرتبط.”
يستهدف Rocket Kitten ، الذي يُعتقد أنه برعاية طهران ، الوكالات الحكومية ، ومقاولي الدفاع ، والمؤسسات الأكاديمية ، والصحفيين في أمريكا الشمالية وأوروبا والشرق الأوسط لأغراض التجسس الإلكتروني.
قيل لنا إن خلل حقن قالب خادم VMware يؤثر على مكون Apache Tomcat ، ويمكن أن يسمح لـ Rocket Histten ، أو أي الأوامر غير الأخرى ، بتنفيذ أوامر ضارة على خادم مضيف. بعد الحصول على دخول من خلال هذه الثقب ، استخدم المتسللون PowerShell لتنزيل المرحلة التالية وتشغيلها: The Powertrash Loader ، والذي لاحظ Morphisec هو “نص PowerShell للغاية مع حوالي 40،000 سطر من التعليمات البرمجية.”
يقوم المحمل بإلغاء ضغط الحمولة الحمولة ويحققها في الذاكرة. كانت الحمولة النهائية في الهجوم وكيل تأثير أساسي ، وهو أداة اختبار اختراق شرعية.
ومع ذلك ، كما لاحظ Morphisec وآخرون ، يتم استخدام هذه الأطر وغيرها من أطر اختبار القلم ، مثل إضراب الكوبالت و metaspoit ، من قبل عصابات الجريمة الإلكترونية للحفاظ .
وكتب الباحثون: “كما هو الحال مع أطر اختبار الاختراق الأخرى ، لا يتم استخدامها دائمًا بنوايا حسنة. هريرة APT35 مجموعة. ”
تمكن Morphisec من استخراج عنوان خادم الأوامر والسيطرة ، وإصدار العميل ، ومفتاح تشفير الاتصالات من الكود ؛ راجع الكتابة أعلاه للحصول على التفاصيل الفنية.