Tin tặc nhắm mục tiêu các máy chủ hợp lưu Atlassian chưa từng có để triển khai các công cụ khai thác tiền điện tử

Tấn công máy chủ hợp lưu Atlassian

Một lỗ hổng bảo mật quan trọng hiện đã được vá ảnh hưởng đến Atlassian Confluence Server được đưa ra ánh sáng cách đây vài tháng đang bị khai thác tích cực để khai thác tiền điện tử bất hợp pháp trên các bản cài đặt chưa được vá.

“Nếu không được khắc phục và khai thác thành công, lỗ hổng này có thể được sử dụng cho nhiều cuộc tấn công nguy hiểm và ngày càng nhiều, chẳng hạn như chiếm lĩnh miền hoàn chỉnh của cơ sở hạ tầng và những triển khai, trojan truy cập từ xa (RAT) và ”, nhà nghiên cứu về mối đe dọa của Trend Micro Sunil Bharti cho biết trong một báo cáo.

Vấn đề, được theo dõi là CVE-2022-26134 (điểm CVSS: 9,8), đã được giải quyết bởi công ty phần mềm Úc vào tháng 6 năm 2022.

Trong một trong những chuỗi lây nhiễm mà công ty an ninh mạng quan sát thấy, lỗ hổng này đã được tận dụng để tải xuống và chạy một tập lệnh shell (“ro.sh”) trên máy của nạn nhân, đến lượt nó, lấy một tập lệnh shell thứ hai (“ap.sh “).

Mã độc được thiết kế để cập nhật biến PATH để bao gồm các đường dẫn bổ sung như “/ tmp”, tải xuống tiện ích cURL (nếu chưa có) từ máy chủ từ xa, vô hiệu hóa tường lửa iptables, lạm dụng lỗ hổng PwnKit (CVE-2021-4034 ) để có được đặc quyền root và cuối cùng là triển khai hezb.

Xem tiếp:   Uber đổ lỗi cho LAPSUS $ Hacking Group vì vi phạm bảo mật gần đây

Giống như các cuộc tấn công tiền điện tử khác, tập lệnh shell cũng chấm dứt các công cụ khai thác tiền xu cạnh tranh khác, vô hiệu hóa các đại lý cung cấp dịch vụ đám mây từ Alibaba và Tencent, trước khi thực hiện chuyển động ngang qua SSH.

Các phát hiện phản ánh những nỗ lực khai thác tương tự đã được Lacework, Microsoft, Sophos và Akamai tiết lộ trước đó vào tháng Sáu.

Phân tích của Lacework cho thấy thêm rằng máy chủ command-and-control (C2) được sử dụng để truy xuất phần mềm cURL cũng như công cụ khai thác hezb cũng đã phân phối tệp nhị phân ELF dựa trên Golang có tên “kik” cho phép phần mềm độc hại tiêu diệt các quy trình quan tâm.

Người dùng nên ưu tiên vá lỗ hổng vì nó có thể bị lạm dụng bởi các tác nhân đe dọa cho các mục đích bất chính khác.

Bharti cho biết: “Những kẻ tấn công có thể lợi dụng việc đưa mã của chính chúng vào để giải thích và giành quyền truy cập vào miền Confluence đang được nhắm mục tiêu, cũng như tiến hành các cuộc tấn công từ việc kiểm soát máy chủ cho các hoạt động độc hại tiếp theo đến làm hỏng chính cơ sở hạ tầng”.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …