Hakeri su iskoristili ranjivost Confluence servera da bi implementirali LockBit Ransomware

Đorđe

2 months ago

Hakeri su iskoristili ranjivost Confluence servera da bi implementirali LockBit Ransomware-Kiber.ba

Otkriven je sofisticirani napad ransomware-a koji koristi kritičnu ranjivost Atlassian Confluence-a (CVE-2023-22527, CVSS 10.0), koji je kulminirao implementacijom LockBit Black ransomware-a u korporativne mreže u roku od dva sata od početnog kompromitovanja.

Napadači su orkestrovali višestepeni upad koji je uključivao krađu akreditiva, bočno kretanje putem RDP-a i automatizovanu distribuciju ransomware-a koristeći legitimne alate kao što je PDQ Deploy.

Bočno kretanje preko RDP-a (Izvor – Izvještaj DFIR-a)

Kršenje je počelo eksploatacijom CVE-2023-22527, greške u ubrizgavanju šablona na strani servera koja omogućava neautorizovano daljinsko izvršavanje koda (RCE).

Napadači su ubacili maliciozne izraze Object-Graph Navigation Language (OGNL) putem HTTP POST zahtjeva za /template/aui/text-inline.vm, omogućavajući izvršavanje komande kao NETWORK SERVICEnalog.

Dok su analitičari sajber sigurnosti u The DFIR Report-u primijetili da su početne komande za izviđanje poput net useri whoamibile izvršene putem Python skripte, o čemu svjedoči python-requests/2.25korisnički agent u zapisnicima servera.

POST /template/aui/text-inline.vm HTTP/1.1  
User-Agent: python-requests/2.25  
...  
Content: ...freemarker.template.utility.Execute().exec({"whoami"})

Nakon uspostavljanja Meterpreter sesije putem maliciozne HTA datoteke, napadači su se okrenuli na AnyDesk radi trajnog pristupa.

Onemogućili su odbranu tako što su u Windows Start meni ukucali “virus” kako bi deaktivirali Defender i obrisali evidenciju koristeći PowerShell:-

wevtutil el | ForEach-Object { wevtutil cl "$_" }

Nakon eksfiltracije, hakeri su izbrisali alate kao što su Mimikatz i Rclone kako bi izbrisali tragove:-

C:\temp\mimikatz\x64\mimikatz.exe  
C:\temp\rclone\rclone.exe

Napadač onemogućuje Windows Defender putem GUI-a (izvor – DFIR izvještaj)

Impact i Ransomware implementacija

LockBit je implementiran pomoću PDQ Deploy, legitimnog IT alata, za izvršavanje skripte ( asd.bat) na umreženim uređajima. Skripta je pokrenula ransomware enkripciju, dodajući ekstenziju .rhddiicoEdatotekama i modifikujući pozadine radne površine s LockBitovim potpisom slika.

@echo off  
start cmd /k "C:\temp\LBB.exe -path \\TARGET\C$\"

LockBit-ova izmjena pozadine na radnoj površini nakon šifriranja (izvor – DFIR izvještaj)

Eksfiltracija podataka prethodila je šifrovanju, sa 1,5+ GB prebačenim na MEGA.io preko Rclone-a. Infrastruktura hakera, povezana sa ruskim IP adresama i Flyservers SA, odražava taktiku koja je ranije bila povezana sa LockBit filijalama.

Ovaj incident opisuje kritičnu potrebu za zakrpom Confluence servera i revizijom alata za daljinski pristup.

Izvor: CyberSecurityNews