Một kẻ đe dọa được cho là đã “rất có thể” đã khai thác một lỗ hổng bảo mật trong máy chủ Atlassian Confluence lỗi thời để triển khai một cửa sau chưa từng thấy trước đây chống lại một tổ chức giấu tên trong lĩnh vực nghiên cứu và dịch vụ kỹ thuật.
Cuộc tấn công, diễn ra trong khoảng thời gian bảy ngày vào cuối tháng 5, được cho là do một nhóm hoạt động đe dọa được theo dõi bởi công ty an ninh mạng Deepwatch như TAC-040.
Công ty cho biết: “bằng chứng chỉ ra rằng tác nhân đe dọa đã thực hiện các lệnh độc hại với quy trình mẹ của tomcat9.exe trong thư mục Confluence của Atlassian”. “Sau thỏa hiệp ban đầu, tác nhân đe dọa chạy các lệnh khác nhau để liệt kê hệ thống cục bộ, mạng và môi trường Active Directory.”
Lỗ hổng Atlassian bị nghi ngờ đã bị khai thác là CVE-2022-26134, một lỗ hổng chèn Ngôn ngữ Điều hướng Đồ thị (OGNL) mở đường cho việc thực thi mã tùy ý trên phiên bản Máy chủ Hợp lưu hoặc Trung tâm Dữ liệu.
Sau các báo cáo về việc khai thác tích cực trong các cuộc tấn công trong thế giới thực, vấn đề đã được công ty Úc giải quyết vào ngày 4 tháng 6 năm 2022.
Nhưng do không có hiện vật pháp y, Deepwatch giả thuyết rằng vi phạm có thể dẫn đến việc khai thác lỗ hổng Spring4Shell (CVE-2022-22965) để có được quyền truy cập ban đầu vào ứng dụng web Confluence.
Không có nhiều thông tin về TAC-040 ngoài thực tế là các mục tiêu của tập thể đối thủ có thể liên quan đến hoạt động gián điệp, mặc dù không loại trừ khả năng nhóm có thể đã hành động vì lợi nhuận tài chính, do sự hiện diện của một bộ nạp cho một công cụ khai thác tiền điện tử XMRig trên hệ thống.
Mặc dù không có bằng chứng cho thấy người khai thác đã bị thực hiện trong sự cố này, nhưng địa chỉ Monero thuộc sở hữu của các tác nhân đe dọa đã kiếm được ít nhất 652 XMR (106.000 USD) bằng cách chiếm đoạt tài nguyên máy tính của các hệ thống khác để khai thác bất hợp pháp tiền điện tử.
Chuỗi tấn công cũng đáng chú ý với việc triển khai một thiết bị cấy ghép không có giấy tờ trước đây có tên là Ljl Backdoor trên máy chủ bị xâm nhập. Khoảng 700MB dữ liệu lưu trữ ước tính đã bị tách ra trước khi máy chủ bị nạn nhân đưa vào ngoại tuyến, theo một phân tích của nhật ký mạng.
Phần mềm độc hại, về phần nó, là một loại virus trojan có đầy đủ tính năng được thiết kế để thu thập các tệp và tài khoản người dùng, tải các trọng tải .NET tùy ý và thu thập thông tin hệ thống cũng như vị trí địa lý của nạn nhân.
“Nạn nhân đã phủ nhận khả năng di chuyển theo chiều ngang trong môi trường của tác nhân đe dọa bằng cách đặt máy chủ ngoại tuyến, có khả năng ngăn chặn việc xâm nhập dữ liệu nhạy cảm bổ sung và hạn chế (các) tác nhân đe dọa khả năng tiến hành các hoạt động độc hại khác.”
.
