< p class="meta"> Door Charlie Osborne voor Zero Day | 5 oktober 2021 | Onderwerp: Beveiliging
Een nieuwe ransomware-operator richt zich op Confluence-servers door een recent onthulde kwetsbaarheid te gebruiken om de eerste toegang tot kwetsbare systemen te verkrijgen.
Volgens Sophos cybersecurity-onderzoekers Sean Gallagher en Vikas Singh profiteren de nieuwe dreigingsactoren, genaamd Atom Silo, van de fout in de hoop dat eigenaren van Confluence-servers de vereiste beveiligingsupdates nog moeten toepassen om de bug op te lossen.
Atlassian Confluence is een webgebaseerde virtuele werkplek voor de onderneming, waarmee teams kunnen communiceren en samenwerken aan projecten.
Sophos beschreef een recente aanval van Atom Silo gedurende een periode van twee dagen. De kwetsbaarheid die bij de aanval werd gebruikt, bijgehouden als CVE-2021-08-25, gaf de cybercriminelen de eerste toegang tot de bedrijfsomgeving van het slachtoffer.
De Confluence-kwetsbaarheid wordt actief misbruikt in het wild. Hoewel het probleem in augustus werd opgelost, waarschuwde de leverancier dat Confluence Server en Confluence Data Center gevaar lopen en onmiddellijk moeten worden gepatcht.
Als ze worden misbruikt, kunnen niet-geverifieerde bedreigingsactoren een OGNL-injectieaanval uitvoeren en willekeurige code uitvoeren.
CVE-2021-08-25 werd in september gebruikt om het Jenkins-project in gevaar te brengen. US Cybercom zei in dezelfde maand dat aanvallen “aan de gang waren en naar verwachting zullen versnellen”.
In de zaak die door Sophos werd onderzocht, maakte Atom Silo op 13 september gebruik van de kwetsbaarheid en was in staat om de code-injectie-bug te gebruiken om een achterdeur te creëren, wat leidde tot het downloaden en uitvoeren van een tweede, onopvallende achterdeur.
Om onder de radar te blijven, liet deze payload een legitiem en ondertekend stuk software vallen dat kwetsbaar was voor een niet-ondertekende DLL-sideload-aanval. Vervolgens werd een kwaadaardige .DLL gebruikt om de achterdeur te decoderen en te laden vanuit een apart bestand met code die lijkt op een Cobalt Strike-baken, waardoor een tunnel werd gecreëerd voor het op afstand uitvoeren van Windows Shell-opdrachten via WMI.
“De inbraak die de ransomware-aanval mogelijk maakte, maakte gebruik van verschillende nieuwe technieken die het extreem moeilijk maakten om te onderzoeken, waaronder het side-loaden van kwaadaardige dynamic-link-bibliotheken die zijn aangepast om endpoint-beveiligingssoftware te verstoren,” de zeggen onderzoekers.
Binnen een paar uur begon Atom Silo zijdelings over het netwerk van zijn slachtoffers te bewegen, waarbij meerdere servers werden gecompromitteerd en dezelfde backdoor-binaries op elk werden uitgevoerd, terwijl ook aanvullende verkenningen werden uitgevoerd.
11 dagen na de eerste inbraak werden ransomware en een kwaadaardige kerneldriver-payload, ontworpen om de eindpuntbescherming te verstoren, ingezet. Afzonderlijk merkte een andere dreigingsactor op dat hetzelfde systeem kwetsbaar was voor CVE-2021-08-25 en stilletjes cryptocurrency-miningsoftware geïmplanteerd.
De ransomware is “vrijwel identiek” aan LockFile. Bestanden werden versleuteld met de .ATOMSILO-extensie en een ransomware-notitie die $ 200.000 eiste, werd vervolgens op het systeem van het slachtoffer gedropt.
“Ransomware-operators en andere malware-ontwikkelaars worden zeer bedreven in het profiteren van deze lacunes, springen op gepubliceerde proof-of-concept-exploits voor nieuw onthulde kwetsbaarheden en gebruiken ze snel om ervan te profiteren”, zegt Sophos. “Om de dreiging te verminderen, moeten organisaties ervoor zorgen dat ze robuuste ransomware- en malwarebescherming hebben, en waakzaam zijn voor opkomende kwetsbaarheden in internetgerichte softwareproducten die ze op hun netwerken gebruiken.”
Eerdere en gerelateerde berichtgeving
Atlassian CISO verdedigt reactie op Confluence-kwetsbaarheid van bedrijf, dringt aan op patching
US Cybercom zegt dat massale exploitatie van Atlassian Confluence-kwetsbaarheid 'aan de gang is en naar verwachting zal versnellen'
Jenkins-project aangevallen door kwetsbaarheid Atlassian Confluence
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 