Tin tặc đã khai thác lỗi hợp lưu Atlassian để triển khai cửa hậu Ljl cho hoạt động gián điệp

Hợp lưu Atlassian

Một kẻ đe dọa được cho là đã “rất có thể” đã khai thác một lỗ hổng bảo mật trong máy chủ Atlassian Confluence lỗi thời để triển khai một cửa sau chưa từng thấy trước đây chống lại một tổ chức giấu tên trong lĩnh vực nghiên cứu và dịch vụ kỹ thuật.

Cuộc tấn công, diễn ra trong khoảng thời gian bảy ngày vào cuối tháng 5, được cho là do một nhóm hoạt động đe dọa được theo dõi bởi công ty Deepwatch như TAC-040.

Công ty cho biết: “Bằng chứng chỉ ra rằng tác nhân đe dọa đã thực hiện các lệnh độc hại với quy trình mẹ của tomcat9.exe trong thư mục Confluence của Atlassian”. “Sau thỏa hiệp ban đầu, tác nhân đe dọa chạy các lệnh khác nhau để liệt kê hệ thống cục bộ, mạng và môi trường Active Directory.”

Lỗ hổng Atlassian bị nghi ngờ đã bị khai thác là CVE-2022-26134, một lỗ hổng chèn Ngôn ngữ Điều hướng Đồ thị (OGNL) mở đường cho việc thực thi mã tùy ý trên phiên bản Máy chủ Hợp lưu hoặc Trung tâm Dữ liệu.

Sau các báo cáo về việc khai thác tích cực trong các cuộc tấn công trong thế giới thực, vấn đề đã được công ty Úc giải quyết vào ngày 4 tháng 6 năm 2022.

Nhưng do không có hiện vật pháp y, Deepwatch giả thuyết rằng vi phạm có thể dẫn đến việc khai thác lỗ hổng Spring4Shell (CVE-2022-22965) để có được quyền truy cập ban đầu vào ứng dụng web Confluence.

Xem tiếp:   Microsoft: Tin tặc khai thác lỗi SolarWinds Serv-U mới liên quan đến các cuộc tấn công Log4j

Không có nhiều thông tin về TAC-040 ngoài thực tế là các mục tiêu của tập thể đối thủ có thể liên quan đến hoạt động gián điệp, mặc dù không loại trừ khả năng nhóm có thể đã hành động vì lợi nhuận tài chính, do sự hiện diện của một bộ nạp cho một công cụ khai thác XMRig trên hệ thống.

Mặc dù không có bằng chứng cho thấy người khai thác đã bị thực hiện trong sự cố này, nhưng địa chỉ Monero thuộc sở hữu của các tác nhân đe dọa đã kiếm được ít nhất 652 XMR (106.000 USD) bằng cách chiếm đoạt tài nguyên máy tính của các hệ thống khác để khai thác bất hợp pháp tiền điện tử.

Chuỗi tấn công cũng đáng chú ý với việc triển khai một thiết bị cấy ghép không có giấy tờ trước đây có tên là Ljl Backdoor trên máy chủ bị xâm nhập. Khoảng 700MB dữ liệu lưu trữ ước tính đã bị tách ra trước khi máy chủ bị nạn nhân đưa vào ngoại tuyến, theo một phân tích của nhật ký mạng.

, về phần nó, là một loại virus trojan có đầy đủ tính năng được thiết kế để thu thập các tệp và tài khoản người dùng, tải các trọng tải .NET tùy ý và thu thập thông tin hệ thống cũng như vị trí địa lý của nạn nhân.

“Nạn nhân đã phủ nhận khả năng di chuyển theo chiều ngang trong môi trường của tác nhân đe dọa bằng cách đặt máy chủ ngoại tuyến, có khả năng ngăn chặn việc xâm nhập dữ liệu nhạy cảm bổ sung và hạn chế (các) tác nhân đe dọa khả năng tiến hành các hoạt động độc hại khác.”

Xem tiếp:   Trình kích hoạt Windows KMSPico độc hại ăn cắp ví tiền điện tử của người dùng

.

Related Posts

Check Also

Nhà phát triển tiền mặt Tornado bị bắt sau lệnh trừng phạt của Hoa Kỳ Máy trộn tiền điện tử

Các nhà chức trách Hà Lan hôm thứ Sáu đã thông báo về việc bắt …