Οι ερευνητές ασφαλείας παρατήρησαν κακόβουλες καμπάνιες που εκμεταλλεύονται μια κρίσιμη ευπάθεια στο VMware Workspace One Access για να παρέχουν διάφορα κακόβουλα προγράμματα, συμπεριλαμβανομένου του εργαλείου RAR1Ransom που κλειδώνει αρχεία σε αρχεία που προστατεύονται με κωδικό πρόσβασης.
Το πρόβλημα που χρησιμοποιείται στις επιθέσεις είναι το CVE-2022-22954, ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα που ενεργοποιείται μέσω της ένεσης προτύπου από την πλευρά του διακομιστή.
Ερευνητές της εταιρείας κυβερνοασφάλειας Fortinet παρατήρησαν στις πιο πρόσφατες καμπάνιες ότι οι φορείς απειλών ανέπτυξαν το botnet Mira για κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS), τον εξορύκτη κρυπτονομισμάτων GuardMiner και το εργαλείο RAR1Ransom.
Η VMware κυκλοφόρησε ενημερώσεις ασφαλείας όταν το ελάττωμα αποκαλύφθηκε στις 6 Απριλίου. Μόλις οι εκμεταλλεύσεις proof-of-concept (PoC) έγιναν διαθέσιμες, το προϊόν έγινε γρήγορα στόχος για τους παράγοντες απειλών.
Μέσα σε δύο εβδομάδες από την αποκάλυψη, η BleepingComputer ανέφερε σχετικά με την ενεργή εκμετάλλευση του CVE-2022-22954 από το APT35, γνωστό και ως Rocket Kitten, σε ευάλωτους διακομιστές backdoor.
Τον Μάιο, μια αναφορά από την AT&T Alien Labs προειδοποίησε για το ελάττωμα που προστέθηκε στη λίστα των σφαλμάτων που στοχεύει το EnemyBot.