یک کمپین جدید رمز افزاری به نام CACTUS شناسایی شده است که از آسیب پذیری های موجود در Qlik Sense، یک پلتفرم تحلیل ابری و هوش تجاری، برای دسترسی اولیه به شبکه های هدف استفاده می کند.
Qlik Sense از چندین منبع داده پشتیبانی میکند و به کاربران اجازه میدهد تا گزارشهای داده سفارشی یا تجسمهای تعاملی ایجاد کنند که میتوانند در فرآیندهای تصمیمگیری خدمت کنند. این محصول می تواند هم به صورت محلی و هم در فضای ابری کار کند.
در اواخر ماه آگوست، این وبسایت بهروزرسانیهای امنیتی را برای دو آسیبپذیری مهم که بر نسخه ویندوز این پلتفرم تأثیر می گذاشت را منتشر کرد. یکی از آسیبپذیریها، یک باگ پیمایش مسیر Path Traversal است که بهعنوان CVE-2023-41266شناخته میشود ، میتواند برای تولید session های ناشناس و انجام درخواستهای HTTP به نقاط پایانی غیرمجاز مورد سوء استفاده قرار گیرد.
آسیبپذیری بعدی که به عنوان CVE-2023-41265 شناخته می شود و با شدت بحرانی 9.8 نیازی به احراز هویت ندارد و می توان از آن برای افزایش امتیازات و اجرای درخواست های HTTP در سرور که برنامه را میزبانی می کند استفاده کرد.
در 20 سپتامبر،شرکت Qlik عنوان کرد که رفع مشکل CVE-2023-41265 کافی نیست، و بهروزرسانی جدیدی ارائه کرد و این مشکل را به عنوان یک آسیبپذیری جداگانه با نام CVE-2023-48365معرفی کرد.
در گزارش اخیر، شرکت امنیت سایبری Arctic Wolf در مورد باجافزار Cactus که به طور فعال از این نقصها در نمونههای Qlik Sense در معرض عموم استفاده میکند و اصلاح نشدهاند، هشدار میدهد.
کمپین باج افزار کاکتوس
این کمپین رمز افزاری قبل از رمزگذاری داده های حساس را دزدیده و از تکنیک های اخاذی دوگانه برای فشار بیشتر بر روی قربانیان استفاده می کند. این کمپین از ابزارهایی مانند Cobalt Strike، Chisel، ManageEngine UEMS و AnyDesk برای کنترل از راه دور، ایجاد دسترسی پایدار و انتقال فایل ها به سیستم های آلوده استفاده می کند.
