< p class = "meta"> Av Charlie Osborne for Zero Day | 5. oktober 2021 | Tema: Sikkerhet
En ny ransomware-operatør retter seg mot Confluence-servere ved å bruke et nylig avslørt sårbarhet for å få første tilgang til sårbare systemer.
I følge Sophos cybersikkerhetsforskere Sean Gallagher og Vikas Singh, utnytter de nye trusselaktørene, kalt Atom Silo, feilen i håp om at Confluence -servereiere ennå ikke skal bruke de nødvendige sikkerhetsoppdateringene for å løse feilen.
Atlassian Confluence er en nettbasert virtuell arbeidsplass for bedriften, som lar team kommunisere og samarbeide om prosjekter.
Sophos beskrev et nylig angrep utført av Atom Silo over en periode på to dager. Sårbarheten som ble brukt i angrepet, sporet som CVE-2021-08-25, tillot cyberkriminelle å få første tilgang til offerets bedriftsmiljø.
Konfluens -sårbarheten blir aktivt utnyttet i naturen. Mens det ble løst i august, advarte leverandøren om at Confluence Server og Confluence Data Center er i fare og bør lappes umiddelbart.
Hvis de blir utnyttet, kan uautentiserte trusselaktører utføre et OGNL -injeksjonsangrep og utføre vilkårlig kode.
CVE-2021-08-25 ble brukt til å kompromittere Jenkins-prosjektet i september. Amerikanske Cybercom sa i samme måned at angrepene var “pågående og forventes å akselerere.”
I saken som ble undersøkt av Sophos, utnyttet Atom Silo sårbarheten 13. september og kunne bruke kodeinnsprøytningsfeilen til å lage en bakdør, noe som førte til nedlasting og kjøring av en andre, skjult bakdør.
For å holde seg under radaren, droppet denne nyttelasten et legitimt og signert programvare som var sårbart for et usignert DLL sidelastangrep. En ondsinnet .DLL ble deretter brukt til å dekryptere og laste bakdøren fra en egen fil som inneholder kode som ligner et Cobalt Strike -fyrtårn, og opprettet en tunnel for ekstern kjøring av Windows Shell -kommandoer via WMI.
“Innbruddet som gjorde ransomware-angrepet mulig gjorde bruk av flere nye teknikker som gjorde det ekstremt vanskelig å undersøke, inkludert sidelastning av ondsinnede dynamiske lenkebiblioteker skreddersydd for å forstyrre endepunktbeskyttelsesprogramvare,” sier forskere.
I løpet av noen timer begynte Atom Silo å bevege seg lateralt over ofrenes nettverk, kompromittere flere servere i prosessen og utføre de samme bakdørbinarene på hver samtidig som den utførte ytterligere rekognosering.
11 dager etter den første inntrengningen ble ransomware og en ondsinnet nyttelast for Kernel Driver -verktøyet, designet for å forstyrre endepunktsbeskyttelse, deretter distribuert. Hver for seg oppdaget en annen trusselaktør at det samme systemet var sårbart for CVE-2021-08-25 og stille implantert kryptovaluta for gruvedrift.
Ransomware er “praktisk talt identisk” med LockFile. Filer ble kryptert ved hjelp av .ATOMSILO -forlengelsen, og en ransomware -notat som krever 200 000 dollar ble deretter slettet på offerets system.
“Ransomware-operatører og andre malware-utviklere blir veldig flinke til å dra nytte av disse hullene, hopper på publiserte bevis på konseptutnyttelser for nylig avslørte sårbarheter og våpner dem raskt for å tjene penger på dem,” sier Sophos. “For å redusere trusselen må organisasjoner både sikre at de har robust ransomware- og malware-beskyttelse på plass, og er årvåkne om nye sårbarheter på Internett-vendte programvareprodukter de driver på sine nettverk.”
Tidligere og relatert dekning
Atlassian CISO forsvarer selskapets konfluens -sårbarhetsrespons, oppfordrer til oppdatering
US Cybercom sier at masseutnyttelse av Atlassian Confluence -sårbarhet 'pågår og forventes å akselerere'
Jenkins -prosjekt angrepet gjennom Atlassian Confluence -sårbarhet
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 