CVE-2021-22941: Citrix ShareFile Remote-Code-Ausführungsschwachstelle ausgenutzt durch PROPHET SPIDER

[post-views]
März 14, 2022 · 3 min zu lesen
CVE-2021-22941: Citrix ShareFile Remote-Code-Ausführungsschwachstelle ausgenutzt durch PROPHET SPIDER

Ein berüchtigter Initial Access Broker PROPHET SPIDER wurde dabei erwischt, die CVE-2021-22941-Schwachstelle auszunutzen, um unbefugten Zugriff auf einen Microsoft Internet Information Services (IIS) Webserver zu erhalten. Cyberkriminelle zielen darauf ab, die Sicherheitssysteme von Organisationen zu verletzen, um sensible Daten zu blockieren und dann den Zugang an Ransomware-Gruppen zu verkaufen.

Das Ausnutzen der oben genannten Path-Traversal-Schwachstelle ermöglicht es Angreifern, eine Webshell zu liefern,die weitere Nutzdaten herunterladen würde. PROPHET SPIDER kann auch einen anfänglichen Zugriff durch eine bekannte Log4j-Schwachstelle

Entdecken Sie die neuesten Erkennungen, die von den SOC Prime Threat Bounty-Entwicklern gemacht wurden, und erkennen Sie die Aktivitäten von PROPHET SPIDER früher, als sie Zugriff auf Ihre Netzwerke erlangen.

CVE-2021-22941-Erkennung

Um mögliche PROPHET SPIDER-Angriffe auf Ihre Systeme zu erkennen, prüfen Sie die unten stehende Liste der Erkennungsregeln. Unser Inhalt deckt sowohl Citrix ShareFile als auch Log4j in VMware-Schwachstellenausnutzungen ab.

Um die mit PROPHET SPIDER verbundene bösartige Aktivität zu mindern, ist es wichtig, Zugangslücken zu vermeiden, die von dem berüchtigten Bedrohungsakteur ausgenutzt werden. Wir empfehlen, nicht nur eine RCE-Schwachstelle (CVE-2021-22941), sondern auch Log4j-Schwachstellen in VMware Horizon mit den Kennungen CVE-2021-44228, CVE-2021-45046 und CVE-2021-44832 zu erkennen und zu beheben.

Verdächtiger PROPHET SPIDER Initial Access durch Ausnutzung von CVE-2021-22941 zur Bereitstellung von Webshell (über Webserver)

PROPHET SPIDER nutzt Citrix ShareFile RCE-Schwachstelle aus (Post-Exploitation)

Ausnutzung der Log4j(CVE-2021-44228)-Schwachstelle in VMware Horizon (über erstelltes geplantes Task)

Prophet Spider mit der Ausnutzung der Log4j(CVE-2021-44228)-Schwachstelle in VMware Horizon (via cmdline)

Ausnutzung der Log4j(CVE-2021-44228)-Schwachstelle in VMware Horizon (über erstelltes geplantes Task)

Die Regeln werden von unseren Threat Bounty-Entwicklern bereitgestellt Emir Erdogan, Aytek Aytemur, und Nattatorn Chuensangarun.

Experten in der Cybersicherheit sind herzlich eingeladen, dem Threat Bounty-Programm beizutreten, um die Kraft der Community zu nutzen und für ihre Bedrohungserkennungsinhalte Belohnungen zu erhalten.

Erkennungen anzeigen Threat Bounty beitreten

CVE-2021-22941 Exploit-Details

Die von Angreifern eingesetzte Webshell nutzt bekannte Schwachstellen in Web-Servern, um Ransomware-Tools herunterzuladen. Die weiteren Spezifikationen der Payloads der zweiten Stufe können sich unterscheiden, da Angreifer je nach Motivation auswählen können, welche sie verwenden möchten. Die Payloads, die am häufigsten beobachtet wurden, umfassen Erpressung, Ransomware und Krypto-Mining.

Der Bedrohungsakteur PROPHET SPIDER ist seit mindestens Mai 2017 aktiv. Sie verschaffen sich Zugang zu den Systemen der Opfer, indem sie bekannte Schwachstellen in Webservern ausnutzen. Die neuesten Aktivitäten scheinen nicht anders zu sein, mit Ausnahme einer Vielzahl von Payloads der zweiten Stufe.

Zu den neuesten bekannten Schwachstellen, die häufig von PROPHET SPIDER ausgenutzt werden, gehören:

  • CVE-2021-22941 betrifft den Citrix ShareFile Storage Zones Controller, um Zugriff auf einen Microsoft IIS-Webserver zu erhalten
  • CVE-2021-44228, CVE-2021-45046 und CVE-2021-44832 betreffen bekannte Log4j-Schwachstellen in VMware Horizon

Sobald Zugriff auf einen Zielserver erlangt wurde, überschreiben Angreifer die vorhandenen Dateien mit Hilfe von hochgeladenen Parametern, die in einer HTTP-GET-Anforderung übergeben werden. Dann blockieren sie die Daten der Organisation, um sie an andere Ransomware-Akteure weiterzuverkaufen.

Die folgenden MITRE ATT&CK-Techniken und Subtechniken können in dieser Ausnutzung nachverfolgt werden:

  • Anfänglicher Zugriff (T1190) 
  • Ausführung (T1059.001) 
  • Persistenz (T1505.003) 
  • Kommandokontrolle (T1071) 
  • Ingress Tool Transfer (T1105)

Der von den Crowdsourcing-Beiträgen von SOC Prime erstellte Erkennungsinhalt umfasst verhaltensbasierte Erkennungen, die diesen TTPs zugeordnet sind.

Verbessern Sie Ihre täglichen SOC-Operationen mit der Kraft unserer globalen Gemeinschaft erfahrener Bedrohungserkennungsexperten, die kontinuierlich zu SOC Primes Detection as Code Plattformbeitragen. Moderne APTs erweitern ständig ihre Netzwerke, daher ist es kaum möglich, mit den ständig wachsenden Cyber-Bedrohungen umzugehen, wenn die Organisation in ihrer eigenen Umgebung isoliert ist. Treten Sie unserer Plattform bei, um auf dem Laufenden zu bleiben und Cyber-Angriffe so schnell wie möglich zu erkennen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt 5 min zu lesen Neueste Bedrohungen Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt by Daryna Olyniychuk CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt 4 min zu lesen Neueste Bedrohungen CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt by Daryna Olyniychuk CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung 3 min zu lesen Neueste Bedrohungen CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung by Veronika Telychko
Alle Nachrichten