Cactus-Ransomware nutzt Schwachstelle in Qlik-Sense aus

Arctic Wolf Labs hat aktuelle Informationen über eine neue, sich schnell ausbreitende Cactus-Ransomware-Kampagne veröffentlicht, die „Qlik Sense“, eine Cloud-Analyse- und Business-Intelligence-Plattform, ausnutzt.

Der Anbieter von Security-Operations veröffentlicht diese Information so früh wie möglich, um die Cybersicherheits-Community frühzeitig zu informieren und zu warnen.

Die Untersuchungen laufen noch, aber erste wichtige Forschungsergebnisse sind:

  • Qlik-Sense wurde sehr wahrscheinlich entweder über CVE-2023-41265 und CVE-2023-41266 oder CVE-2023-48365 ausgenutzt.
  • Diese Kampagne ist der erste dokumentierte Fall, von dem Arctic Wolf weiß, bei dem Bedrohungsakteure, die Cactus-Ransomware einsetzen und Schwachstellen in Qlik-Sense für den Erstzugang ausgenutzt haben.
  • Die Experten der Arctic Wolf Labs haben mehrere Angriffe auf Qlik-Sense, die zur Ausführung der Cactus-Ransomware führten, untersucht und darauf reagiert. Die beobachtete Execution-Chain war bei allen identifizierten Vorfällen konsistent und beinhaltet den Qlik-Sense-Scheduler-Dienst (Scheduler.exe), der abnormale Prozesse auslöst.
  • Aktuelle Beweise, die Arctic Wolf identifiziert hat, zeigen, dass die Bedrohungsakteure, die Cactus-Ransomware einsetzen, RDP für laterale Bewegungen nutzen, „TizTree Disk Space Analyzer“ herunterladen und „rclone“ (umbenannt in svchost.exe) für die Datenexfiltration einsetzen.

Info: Detaillierte Erkenntnisse finden sich unterhttps://www.arcticwolf.com/resources/blog/qlik-sense-exploited-in-cactus-ransomware-campaign/

#ArcticWolf