APT35组织通过VMW ARE漏洞部署后门

据悉，网络攻击者APT35组织（又名Rocket Kitten）正在积极利用VMware的关键远程代码执行(RCE)漏洞CVE-2022-22954，该APT35组织是和伊朗有关的黑客组织。攻击者利用此安全漏洞获得初始访问权限，最终在易受攻击的系统上部署Core Impact高级渗透测试工具。

4月14日和15日，Morphisec发现了针对一周前的VMware Workspace ONE Access(以前的VMware Identity Manager)远程代码执行(RCE)漏洞的攻击企图。哔哔声电脑报告类似的尝试在野外见过。由于复杂的核心影响后门的迹象，Morphisec认为高级持续威胁(APT)组织是这些VMWare identity manager攻击事件的幕后黑手。在这次袭击中使用的战术、技术和程序在一些组织中很常见，如伊朗火箭小猫组织。

（注：Morphisec是防止从零日漏洞发起的逃避性多态威胁的世界领导者）

VMW ARE虚拟化平台

VMW are是一个价值300亿美元的云计算和虚拟化平台，被全球500，000家组织使用。利用此RCE漏洞的恶意攻击者可能会获得无限的攻击面。这意味着对虚拟化主机和来宾环境中任何组件的最高特权访问。受影响的公司面临严重的安全漏洞、赎金、品牌损害和诉讼。

漏洞信息

这个新漏洞是一个服务器端模板注入，它会影响Apache Tomcat组件，因此，恶意命令会在托管服务器上执行。作为攻击链的一部分，Morphisec已经识别并阻止了作为合法的Tomcat prunsrv.exe进程应用程序的子进程执行的PowerShell命令。具有网络访问权限的恶意参与者可以利用此漏洞针对VMware的身份访问管理实现完全远程代码执行。Workspace ONE Access为SaaS、web和本地移动应用提供多因素身份验证、有条件访问和单点登录。

攻击者通过利用VMWare Identity Manager服务漏洞获得对环境的初始访问权限。然后，攻击者可以部署一个PowerShell stager来下载下一个阶段，Morphisec Labs将其识别为PowerTrash Loader。最后，一个先进的渗透测试框架——核心影响——被注入内存。