高级黑客正在积极利用影响 VMware Workspace ONE Access（以前称为 VMware Identity Manager）的关键远程代码执行 (RCE) 漏洞 CVE-2022-22954。

该问题已在20 天前的安全更新中得到解决， 另外两个 RCE - CVE-2022-22957 和 CVE-2022-22958 也会影响 VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA)、VMware Cloud Foundation 和vRealize Suite 生命周期管理器。

在漏洞公开披露后不久，公共空间中出现了概念证​​明 (PoC) 漏洞利用代码，使黑客能够利用 这些漏洞攻击易受攻击的 VMware 产品部署。VMware 确认了 CVE-2022-22954 在野外被利用。

现在，Morphisec 的研究人员报告说，他们看到了高级持续威胁 (APT) 参与者的利用，特别是被追踪为 APT35 的伊朗黑客组织，又名“火箭小猫”。

攻击细节
攻击者通过利用 CVE-2022-22954 获得对环境的初始访问权限，这是 RCE 三人组中唯一一个不需要对目标服务器进行管理访问并且还具有公开可用的 PoC 漏洞利用的攻击者。

攻击首先在易受攻击的服务 (Identity Manager) 上执行 PowerShell 命令，该服务会启动一个 stager。

然后，stager 从命令和控制 (C2) 服务器以高度混淆的形式获取 PowerTrash 加载程序，并将 Core Impact 代理加载到系统内存中。

APT35 攻击流程 （Morphisec）
Core Impact 是一种合法的渗透测试工具，在这种情况下被滥用于恶意目的，类似于 Cobalt Strike 在恶意活动中的部署方式。

不过，这不是一个新颖的元素。 趋势科技过去曾报告过 APT35 滥用 Core Impact，该活动可追溯到 2015 年。

“Morphisec 研究观察到攻击者已经利用此漏洞 (CVE-2022-22954) 来启动反向 HTTPS 后门——主要是 Cobalt Strike、Metasploit 或 Core Impact 信标” - Morphisec

Morphisec 首席技术官 Michael Gorelik 告诉 BleepingComputer，攻击者尝试在网络上横向移动，尽管后门被阻止。

“通过特权访问，这些类型的攻击可能能够绕过典型的防御措施，包括防病毒 (AV) 和端点检测和响应 (EDR)，”Morphisec 在报告中补充道。

Morphisec 能够检索到 stager 服务器的 C2 地址、Core Impact 客户端版本和用于 C2 通信的 256 位加密密钥，并最终将操作与一个名为 Ivan Neculiti 的特定人联系起来。

在“ Hucksters ”欺诈曝光数据库中有一个以该名称命名的条目，列出了在摩尔多瓦、俄罗斯和英国注册的公司实体，其中包括一家托管公司，根据该数据库，该公司支持各种非法网站以及垃圾邮件和网络钓鱼活动。

目前尚不清楚 Neculiti 或关联公司是否以任何方式（有意或无意）参与了网络犯罪活动。

ZZQIDC已经联系了两家托管公司，就 Morphisec 报告中的指控发表评论，如果我们得到回复，我们将更新这篇文章。