Lỗ hổng hợp lưu Atlassian được sử dụng để triển khai Ransomware và Crypto Miners

Hợp lưu Atlassian

Một lỗ hổng bảo mật quan trọng đã được vá gần đây trong các sản phẩm Trung tâm dữ liệu và Máy chủ Atlassian Confluence đang được vũ khí hóa tích cực trong các cuộc tấn công trong thế giới thực để loại bỏ các công cụ khai thác và tải trọng ransomware.

Trong ít nhất hai sự cố liên quan đến Windows được nhà cung cấp an ninh mạng Sophos quan sát thấy, những kẻ thù đã khai thác lỗ hổng để cung cấp Cerber và một công cụ khai thác tiền điện tử có tên z0miner trên mạng nạn nhân.

Lỗi (CVE-2022-26134, điểm CVSS: 9,8), được vá bởi Atlassian vào ngày 3 tháng 6 năm 2022, cho phép một tác nhân chưa được xác thực đưa mã độc hại mở đường thực thi mã từ xa (RCE) trên các cài đặt bị ảnh hưởng của bộ cộng tác. Tất cả các phiên bản được hỗ trợ của Máy chủ Hợp lưu và Trung tâm Dữ liệu đều bị ảnh hưởng.

Phần mềm độc hại đáng chú ý khác được đẩy ra như một phần của các trường hợp khác nhau của hoạt động tấn công bao gồm các biến thể bot Mirai và Kinsing, một gói giả mạo được gọi là pwnkit và Cobalt Strike bằng cách triển khai web shell sau khi đạt được chỗ đứng ban đầu trong hệ thống bị xâm nhập.

Andrew Brandt, nhà nghiên cứu bảo mật chính tại Sophos, cho biết: “Lỗ hổng CVE-2022-26134 cho phép kẻ tấn công tạo ra một shell có thể truy cập từ xa, trong bộ nhớ, mà không cần ghi bất kỳ thứ gì vào bộ nhớ cục bộ của máy chủ”.

Xem tiếp:   Trung tâm mới cho các nhóm bảo mật CNTT tinh gọn

Ransomware và Crypto Miners

Tiết lộ trùng lặp với các cảnh báo tương tự từ Microsoft, tuần trước tiết lộ rằng “nhiều kẻ thù và các quốc gia-nhà nước, bao gồm DEV-0401 và DEV-0234, đang lợi dụng lỗ hổng Atlassian Confluence RCE CVE-2022-26134.”

DEV-0401, được Microsoft mô tả là “con sói đơn độc có trụ sở tại Trung Quốc trở thành chi nhánh của LockBit 2.0,” trước đây cũng đã được liên kết với việc triển khai ransomware nhắm vào các hệ thống sử dụng internet chạy (Log4Shell), Confluence (CVE-2021-26084), và máy chủ Exchange tại chỗ (ProxyShell).

Sự phát triển này là biểu tượng của một xu hướng đang diễn ra trong đó các tác nhân đe dọa đang ngày càng tận dụng các lỗ hổng bảo mật quan trọng mới được tiết lộ thay vì khai thác các lỗi phần mềm đã được biết đến công khai trên nhiều mục tiêu.

.

Related Posts

Check Also

Shadow ID là gì và chúng quan trọng như thế nào vào năm 2022?

Ngay trước lễ Giáng sinh năm ngoái, trong một trường hợp đầu tiên, JPMorgan đã …