< p class = "meta"> Af Charlie Osborne for Zero Day | 5. oktober 2021 | Emne: Sikkerhed
En ny ransomware-operatør er målrettet mod sammenløbsservere ved at bruge en nylig afsløret sårbarhed for at opnå første adgang til sårbare systemer.
Ifølge Sophos cybersikkerhedsforskere Sean Gallagher og Vikas Singh udnytter de nye trusselsaktører, kaldet Atom Silo, fejlen i håbet om, at Confluence -serverejere endnu ikke har anvendt de nødvendige sikkerhedsopdateringer for at løse fejlen.
Atlassian Confluence er en webbaseret virtuel arbejdsplads for virksomheden, der giver teams mulighed for at kommunikere og samarbejde om projekter.
Sophos beskrev et nylig angreb udført af Atom Silo over en periode på to dage. Sårbarheden, der blev brugt i angrebet, sporet som CVE-2021-08-25, gav cyberkriminelle mulighed for at få første adgang til offerets virksomhedsmiljø.
Konfluens -sårbarheden udnyttes aktivt i naturen. Mens det blev rettet i august, advarede leverandøren om, at Confluence Server og Confluence Data Center er i fare og bør lappes med det samme.
Hvis de udnyttes, er uautentificerede trusselsaktører i stand til at udføre et OGNL -injektionsangreb og udføre vilkårlig kode.
CVE-2021-08-25 blev brugt til at kompromittere Jenkins-projektet i september. Amerikanske Cybercom sagde i samme måned, at angreb var “igangværende og forventes at accelerere.”
I den sag, der blev undersøgt af Sophos, udnyttede Atom Silo sårbarheden den 13. september og kunne bruge kodeindsprøjtningsfejlen til at oprette en bagdør, hvilket førte til download og udførelse af en anden, snigende bagdør.
For at blive under radaren droppede denne nyttelast et legitimt og underskrevet stykke software, der var sårbart over for et usigneret DLL sideload -angreb. En ondsindet .DLL blev derefter brugt til at dekryptere og indlæse bagdøren fra en separat fil, der indeholder kode, der ligner et Cobalt Strike -fyrtårn, hvilket skabte en tunnel til fjernudførelse af Windows Shell -kommandoer via WMI.
“Indtrængen, der gjorde ransomware-angrebet muligt, gjorde brug af flere nye teknikker, der gjorde det ekstremt svært at undersøge, herunder sidelastning af ondsindede dynamiske linkbiblioteker, der er skræddersyet til at forstyrre endepunktsbeskyttelsessoftware,” siger forskere.
Inden for få timer begyndte Atom Silo at bevæge sig sideværts på tværs af sine ofres netværk, kompromittere flere servere i processen og udføre de samme bagdørsbinarier på hver samtidig med at der blev foretaget yderligere rekognoscering.
11 dage efter dets første indtrængen blev ransomware og en ondsindet nyttelast for Kernel Driver -værktøj, designet til at forstyrre slutpunktsbeskyttelse, derefter implementeret. Hver for sig bemærkede en anden trusselsaktør, at det samme system var sårbart over for CVE-2021-08-25 og stille og roligt implanteret cryptocurrency-minedriftssoftware.
Ransomware er “stort set identisk” med LockFile. Filer blev krypteret ved hjælp af .ATOMSILO -udvidelsen, og en ransomware -note, der krævede $ 200.000, blev derefter droppet på offerets system.
“Ransomware-operatører og andre malware-udviklere bliver meget dygtige til at drage fordel af disse huller, hopper på offentliggjort bevis på konceptudnyttelser for nyligt afslørede sårbarheder og bevæbner dem hurtigt for at tjene penge på dem,” siger Sophos. “For at reducere truslen skal organisationer både sikre, at de har robust ransomware- og malware-beskyttelse på plads, og er på vagt over nye sårbarheder på internetprodukter, som de driver på deres netværk.”
Tidligere og relateret dækning
Atlassian CISO forsvarer virksomhedens konfluens -sårbarhedsreaktion, opfordrer til at lappe – US Cybercom siger, at masseudnyttelse af Atlassian Confluence -sårbarhed 'fortsat og forventes at accelerere'
Jenkins -projekt angrebet gennem Atlassian Confluence -sårbarhed
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 