Một lỗ hổng bảo mật quan trọng đã được vá gần đây trong các sản phẩm Trung tâm dữ liệu và Máy chủ Atlassian Confluence đang được vũ khí hóa tích cực trong các cuộc tấn công trong thế giới thực để loại bỏ các công cụ khai thác tiền điện tử và tải trọng ransomware.
Trong ít nhất hai sự cố liên quan đến Windows được nhà cung cấp an ninh mạng Sophos quan sát thấy, những kẻ thù đã khai thác lỗ hổng để cung cấp Cerber ransomware và một công cụ khai thác tiền điện tử có tên z0miner trên mạng nạn nhân.
Lỗi (CVE-2022-26134, điểm CVSS: 9,8), được vá bởi Atlassian vào ngày 3 tháng 6 năm 2022, cho phép một tác nhân chưa được xác thực đưa mã độc hại mở đường thực thi mã từ xa (RCE) trên các cài đặt bị ảnh hưởng của bộ cộng tác. Tất cả các phiên bản được hỗ trợ của Máy chủ Hợp lưu và Trung tâm Dữ liệu đều bị ảnh hưởng.
Phần mềm độc hại đáng chú ý khác được đẩy ra như một phần của các trường hợp khác nhau của hoạt động tấn công bao gồm các biến thể bot Mirai và Kinsing, một gói giả mạo được gọi là pwnkit và Cobalt Strike bằng cách triển khai web shell sau khi đạt được chỗ đứng ban đầu trong hệ thống bị xâm nhập.
Andrew Brandt, nhà nghiên cứu bảo mật chính tại Sophos, cho biết: “Lỗ hổng CVE-2022-26134 cho phép kẻ tấn công tạo ra một shell có thể truy cập từ xa, trong bộ nhớ, mà không cần ghi bất kỳ thứ gì vào bộ nhớ cục bộ của máy chủ”.
Tiết lộ trùng lặp với các cảnh báo tương tự từ Microsoft, tuần trước tiết lộ rằng “nhiều kẻ thù và các quốc gia-nhà nước, bao gồm DEV-0401 và DEV-0234, đang lợi dụng lỗ hổng Atlassian Confluence RCE CVE-2022-26134.”
DEV-0401, được Microsoft mô tả là “con sói đơn độc có trụ sở tại Trung Quốc trở thành chi nhánh của LockBit 2.0,” trước đây cũng đã được liên kết với việc triển khai ransomware nhắm vào các hệ thống sử dụng internet chạy VMWare Horizon (Log4Shell), Confluence (CVE-2021-26084), và máy chủ Exchange tại chỗ (ProxyShell).
Sự phát triển này là biểu tượng của một xu hướng đang diễn ra trong đó các tác nhân đe dọa đang ngày càng tận dụng các lỗ hổng bảo mật quan trọng mới được tiết lộ thay vì khai thác các lỗi phần mềm đã được biết đến công khai trên nhiều mục tiêu.
.
