多个活动利用VMware漏洞部署加密矿工和勒索软件

据观察，VMware Workspace ONE Access中一个现已修补的漏洞被利用，在受影响的计算机上提供加密货币矿工和勒索软件。

Fortinet FortiGuard实验室研究员Cara Lin在周四的一份报告中表示：“攻击者打算尽可能利用受害者的资源，不仅安装RAR1Ansom进行勒索，还传播GuardMiner收集加密货币”。

该问题被追踪为CVE-2022-22954（CVSS评分：9.8），涉及源于服务器端模板注入的远程代码执行漏洞。尽管虚拟化服务提供商于2022年4月解决了这一缺陷，但此后，它在野外遭到了积极利用。

Fortinet表示，它在2022年8月观察到了试图将该漏洞武器化的攻击，以便在Linux设备上部署Mirai僵尸网络，以及RAR1Ansom和GuardMiner（XMRig Monero矿工的变体）。

Mirai示例从远程服务器检索，旨在通过使用默认凭据列表，针对知名物联网设备发起拒绝服务（DoS）和暴力攻击。

另一方面，RAR1Ransom和GuardMiner的分发是通过PowerShell或shell脚本实现的，具体取决于操作系统。RAR1ransom还以利用合法的WinRAR实用程序将文件锁定在受密码保护的存档中而闻名。

此外，GuardMiner还具有传播到其他主机的能力，利用其他软件中的大量远程代码执行漏洞，包括Apache Struts、Atlassian Confluence和Spring Cloud Gateway中的漏洞。

这些发现再次提醒人们，恶意软件活动继续积极利用最近披露的漏洞，侵入未修补的系统，这使得用户必须优先应用必要的安全更新，以减轻此类威胁。