added prospective compromised count

gin
Johannes Bülow 2023-02-05 18:14:22 +01:00
parent 0971c154ba
commit a6b8438b9a
Signed by untrusted user who does not match committer: jmb
GPG Key ID: B56971CF7B8F83A6
2 changed files with 6 additions and 1 deletions

View File

@ -9,6 +9,11 @@ verschlüsselt. Der wahrscheinlichste Angriffsvektor ist derzeit
[CVE-2021-21974](https://www.vmware.com/security/advisories/VMSA-2021-0002.html), ein Heap-Overflow -> RCE Exploit. [CVE-2021-21974](https://www.vmware.com/security/advisories/VMSA-2021-0002.html), ein Heap-Overflow -> RCE Exploit.
Benannt ist die Malware danach, dass sie dem Namen verschlüsselter Dateien ".args" anhängt. Benannt ist die Malware danach, dass sie dem Namen verschlüsselter Dateien ".args" anhängt.
Laut ONYPHE sind 2,112 IPs kompromittiert (Stand 5.2.2023):
[![Tweet von Onyphe zu kompromittierten Hosts](/img/blog/esxiargs_onyphe.jpg)](https://twitter.com/onyphe/status/1622272331421736962)
## Was ist passiert? ## Was ist passiert?
Auf den betroffenen ESXi-Servern wurde vermutlich unter Ausnutzung von CVE-2021-21974 eine reverse shell installiert. Auf den betroffenen ESXi-Servern wurde vermutlich unter Ausnutzung von CVE-2021-21974 eine reverse shell installiert.
In dem [Sample](https://bazaar.abuse.ch/sample/773d147a031d8ef06ee8ec20b614a4fd9733668efeb2b05aa03e36baaf082878/#yara) In dem [Sample](https://bazaar.abuse.ch/sample/773d147a031d8ef06ee8ec20b614a4fd9733668efeb2b05aa03e36baaf082878/#yara)
@ -65,4 +70,4 @@ https://kb.vmware.com/s/article/1026353
### Betroffene ESXi-Server ### Betroffene ESXi-Server
https://www.shodan.io/search?query=html%3A%22TOX_ID%22 https://www.shodan.io/search?query=html%3A%22TOX_ID%22
https://twitter.com/onyphe/status/1622272331421736962

Binary file not shown.

After

Width:  |  Height:  |  Size: 68 KiB