Một lỗ hổng hiện đã được vá trong VMware Workspace ONE Access đã được quan sát thấy bị khai thác để cung cấp cả thợ đào tiền điện tử và ransomware trên các máy bị ảnh hưởng.
"Kẻ tấn công có ý định sử dụng tài nguyên của nạn nhân càng nhiều càng tốt, không chỉ để cài đặt RAR1Ransom để tống tiền, mà còn để lan truyền GuardMiner để thu thập tiền điện tử," nhà nghiên cứu Cara Lin của Fortinet FortiGuard Labs cho biết trong một báo cáo hôm thứ Năm.
Vấn đề, được theo dõi là CVE-2022-22954 (điểm CVSS: 9.8), liên quan đến lỗ hổng thực thi mã từ xa bắt nguồn từ trường hợp chèn mẫu phía máy chủ.
Mặc dù thiếu sót đã được nhà cung cấp dịch vụ ảo hóa giải quyết vào tháng 2022 năm XNUMX, nhưng kể từ đó nó đã bị khai thác tích cực trong tự nhiên.
Fortinet cho biết họ đã quan sát thấy vào tháng 4 năm 1 các cuộc tấn công nhằm vũ khí hóa lỗ hổng để triển khai mạng botnet Mirai trên các thiết bị Linux cũng như RAR1Ransom và GuardMiner, một biến thể của XMRig Monero miner.
Mẫu Mirai được lấy từ một máy chủ từ xa và được thiết kế để khởi chạy các cuộc tấn công từ chối dịch vụ (DDoS) và vũ phu nhằm vào các thiết bị IoT nổi tiếng bằng cách sử dụng danh sách thông tin đăng nhập mặc định.
Mặt khác, việc phân phối RAR1Ransom và GuardMiner đạt được bằng PowerShell hoặc tập lệnh shell tùy thuộc vào hệ điều hành. RAR1ransom cũng đáng chú ý vì tận dụng tiện ích WinRAR hợp pháp để bắt đầu quá trình mã hóa.
Những phát hiện này là một lời nhắc nhở khác rằng các chiến dịch phần mềm độc hại tiếp tục tích cực khai thác các lỗ hổng được tiết lộ gần đây để đột nhập vào các hệ thống chưa được vá, điều cần thiết là người dùng phải ưu tiên áp dụng các bản cập nhật bảo mật cần thiết để giảm thiểu các mối đe dọa như vậy.