< p class = "meta"> Av Charlie Osborne för Zero Day | 5 oktober 2021 | Ämne: Säkerhet
En ny ransomware-operatör riktar sig mot Confluence-servrar genom att använda en nyligen avslöjad sårbarhet för att få initial åtkomst till sårbara system.
Enligt Sophos cybersäkerhetsforskare Sean Gallagher och Vikas Singh utnyttjar de nya hotaktörerna, som kallas Atom Silo, bristen i hopp om att Confluence -serverägare ännu inte har tillämpat de nödvändiga säkerhetsuppdateringarna för att lösa felet.
Atlassian Confluence är en webbaserad virtuell arbetsplats för företaget, så att team kan kommunicera och samarbeta om projekt.
Sophos beskrev en attack som Atom Silo nyligen genomfört under en period av två dagar. Sårbarheten som användes i attacken, spårad som CVE-2021-08-25, gjorde det möjligt för it-kriminella att få första åtkomst till offrets företagsmiljö.
Konfluens -sårbarheten utnyttjas aktivt i det vilda. Medan den fixades i augusti varnade leverantören för att Confluence Server och Confluence Data Center är i fara och bör korrigeras omedelbart.
Om de utnyttjas kan oautentiserade hotaktörer utföra en OGNL -injektionsattack och utföra godtycklig kod.
CVE-2021-08-25 användes för att kompromissa med Jenkins-projektet i september. Amerikanska Cybercom sa samma månad att attackerna var “pågående och förväntas accelerera”.
I det fall som undersöktes av Sophos utnyttjade Atom Silo sårbarheten den 13 september och kunde använda kodinjektionsfelet för att skapa en bakdörr, vilket ledde till nedladdning och körning av en andra, smygande bakdörr.
För att stanna under radarn tappade denna nyttolast ett legitimt och signerat program som är sårbart för en osignerad DLL -sidladdningsattack. En skadlig .DLL användes sedan för att dekryptera och ladda bakdörren från en separat fil som innehåller kod som liknar en Cobalt Strike -led, och skapade en tunnel för fjärrkörning av Windows Shell -kommandon via WMI.
“Inträngningen som gjorde ransomware-attacken möjlig använde flera nya tekniker som gjorde det extremt svårt att undersöka, inklusive sidladdning av skadliga dynamiska länkbibliotek som är skräddarsydda för att störa program för slutpunktsskydd,” säger forskare.
Inom några timmar började Atom Silo röra sig i sidled över sina offrens nätverk, kompromissa med flera servrar i processen och utföra samma bakdörrsbinarier på varje samtidigt som de genomförde ytterligare spaning.
11 dagar efter det första intrånget distribuerades sedan ransomware och en skadlig nyttolast för Kernel Driver -verktyget, avsett att störa slutpunktsskyddet. Separat märkte en annan hotaktör att samma system var sårbart för CVE-2021-08-25 och tyst implanterad kryptovaluta-gruvprogramvara.
Ransomware är “praktiskt taget identisk” med LockFile. Filer krypterades med .ATOMSILO -tillägget och en ransomware -notering som krävde 200 000 dollar släpptes sedan på offrets system.
“Ransomware-operatörer och andra malware-utvecklare håller på att bli mycket skickliga på att dra nytta av dessa luckor, hoppa på publicerade bevis på konceptutnyttjanden för nyligen avslöjade sårbarheter och använda dem snabbt för att tjäna på dem”, säger Sophos. “För att minska hotet måste organisationer både se till att de har robust ransomware och malware-skydd på plats, och är vaksamma om nya sårbarheter på Internet-vända mjukvaruprodukter som de driver i sina nätverk.”
Tidigare och relaterad täckning
Atlassian CISO försvarar företagets konfluens -sårbarhetsrespons, uppmanar att korrigera
US Cybercom säger att massutnyttjande av Atlassian Confluence -sårbarhet “pågår och förväntas påskynda”
Jenkins -projekt attackerat genom Atlassian Confluence -sårbarhet
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 