Операторите на ransomware на Atom Silo са насочени към уязвими сървъри Confluence

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Нов оператор на ransomware е насочен към сървърите на Confluence, като използва наскоро разкрита уязвимост, за да получи първоначален достъп до уязвими системи.

Според Киберсигурност на Sophos изследователите Шон Галахър и Викас Сингх, новите участници в заплахата, наречени Atom Silo, се възползват от недостатъка с надеждата, че собствениците на сървъра на Confluence тепърва ще прилагат необходимите актуализации на защитата, за да разрешат грешката.

Atlassian Confluence е уеб базирано виртуално работно място за предприятието, което позволява на екипите да общуват и да си сътрудничат по проекти.

Софос описа скорошна атака, извършена от Atom Silo за период от два дни. Уязвимостта, използвана при атаката, проследена като CVE-2021-08-25, позволи на киберпрестъпниците да получат първоначален достъп до корпоративната среда на жертвата.

Уязвимостта на Confluence се използва активно в дивата природа. Докато беше фиксиран през август, предупреди продавачът че Confluence Server и Confluence Data Center са изложени на риск и трябва да бъдат закърпени незабавно.

Ако бъдат експлоатирани, неудостоверените участници в заплахата могат да извършат OGNL инжекционна атака и да изпълнят произволен код.

CVE-2021-08-25 беше използван за компрометиране на проекта Jenkins през септември. Американският Cybercom заяви през същия месец, че атаките „продължават и се очаква да се ускорят“.

В случая, разгледан от Sophos, Atom Silo използва уязвимостта на 13 септември и успя да използва грешката при инжектиране на код, за да създаде бекдор, водещ до изтеглянето и изпълнението на втори, скрит бекдор.

За да остане под радара, този полезен товар изпусна легитимен и подписан софтуер, уязвим за неподписана DLL атака със странично натоварване. След това беше използван злонамерен .DLL за декриптиране и зареждане на задната врата от отделен файл, съдържащ код, подобен на маяк на Cobalt Strike, създавайки тунел за дистанционно изпълнение на Windows Shell команди чрез WMI.

„Проникването, което направи възможна атаката срещу ransomware, използва няколко нови техники, които затрудняват изключително разследването, включително страничното зареждане на злонамерени библиотеки с динамична връзка, пригодени да нарушават софтуера за защита на крайните точки“, казват изследователите.

В рамките на няколко часа Atom Silo започна да се движи странично през мрежата на жертвите си, като компрометира множество сървъри в процеса и изпълнява същите задни двоични файлове на всеки, като същевременно провежда допълнително разузнаване.

11 дни след първоначалното му проникване след това бяха разгърнати рансъмуер и злонамерен полезен товар на помощната програма за драйвер на ядрото, предназначен да наруши защитата на крайните точки. Отделно друг участник в заплахата забеляза, че същата система е уязвима за CVE-2021-08-25 и тихо имплантира софтуер за добив на криптовалута.

Рансъмуерът е „почти идентичен“ с LockFile. Файловете бяха шифровани с помощта на разширението .ATOMSILO и бележка за ransomware, изискваща 200 000 долара, беше пусната в системата на жертвата.

„Операторите на Ransomware и други разработчици на зловреден софтуер стават много умели да се възползват от тези пропуски, като се възползват от публикуваното доказателство за концептуални експлоатации за новооткрити уязвимости и бързо ги оръжия, за да се възползват от тях“, казва Софос. „За да намалят заплахата, организациите трябва едновременно да гарантират, че разполагат със стабилна защита срещу злонамерен софтуер и злонамерен софтуер, и да бъдат бдителни относно възникващите уязвимости в софтуерните продукти, насочени към интернет, които оперират в своите мрежи.“


Имате бакшиш? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •