Qlik Exploitation - Cactus Ransomware

Begin december 2023 kregen de MDR security analysten van ESET in de avonduren een hoge-prioriteitsmelding van verdachte activiteit in het netwerk van één van haar klanten.

Introductie

Begin december 2023 kregen de MDR security analysten van ESET in de avonduren een hoge-prioriteitsmelding van verdachte activiteit in het netwerk van één van haar klanten. Een bestand met de naam lsass.dmp werd weggeschreven door de Windows Task Manager.

Tijdlijn

Na onderzoek bleek dat het systeem in kwestie was voorzien van een verouderde versie van de software Qlik Sense. Deze software was bereikbaar via het internet en bevatte reeds bekende kwetsbaarheden met CVE-nummers CVE-2023-41265 en CVE-2023-41266. Deze kwetsbaarheden bleken uitgebuit op meerdere systemen in het netwerk. Na het uitbuiten werd via een PowerShell commando de legitieme tool ZOHO ManageEngine UEMS geïnstalleerd:

Hiermee waren de aanvallers in staat volledig remote management te doen van de betreffende systemen. Via deze nieuwe toegang werden verschillende commando's uitgevoerd zoals whoami en systeminfo alvorens een nieuwe legitieme tool op de systemen te downloaden genaamd PuTTY. Via deze tool werd een zogenaamde reverse SSH tunnel opgezet naar de systemen wat de aanvallers in staat stelden in te loggen via Remote Desktop (RDP):

Vervolgens werd het wachtwoord van het lokale account Administrator veranderd zodat de aanvallers het konden gebruiken om interactieve toegang te krijgen tot de systemen. Ook probeerde men verschillende tools op de systemen te installeren. Deze werden echter direct gedetecteerd en verwijderd.

Ook hebben de aanvallers handmatig met de browser op één van de systemen naar een webpagina gegaan om ManageEngine Remote Access Plus te downloaden.

Op dit punt zijn alle systemen door het ESET MDR team in isolatie geplaatst zodat de aanvallers alle verbindingen naar dit specifieke netwerk zijn verloren.

Indicators of Compromise