Hakeri iskorištavaju nezakrpljene Atlassian servere za implementaciju Linux varijante Cerber-ovog (aka C3RB3R) ransomware-a.
Napadi koriste CVE-2023-22518 (CVSS rezultat: 9,1), kritičnu sigurnosnu ranjivost koja utiče na Atlassian Confluence Data Center i Server koji omogućava neautorizovanom napadaču da resetuje Confluence i kreira administratorski nalog.
Naoružan ovim pristupom, haker mogao bi preuzeti zahvaćene sisteme, što bi dovelo do potpunog gubitka povjerljivosti, integriteta i dostupnosti.
Prema firmi za sigurnost u oblaku Cado, primijećene su financijski motivisane grupe sajber kriminala koje zloupotrebljavaju novostvoreni administratorski nalog za instaliranje dodatka za web shell Effluence i omogućavanje izvršavanja proizvoljnih komandi na hostu.
“Napadač koristi ovu web shell za preuzimanje i pokretanje primarnog Cerberovog tereta”, rekao je Nate Bill, inženjer za obavještavanje prijetnji u Cadou.
“U zadanoj instalaciji, aplikacija Confluence se izvršava kao korisnik ‘konfluence’, korisnik s niskim privilegijama. Kao takvi, podaci koje ransomware može šifrirati ograničeni su na datoteke u vlasništvu korisnika konfluence.”
Vrijedi napomenuti da je Rapid7 ranije istaknuo korištenje CVE-2023-22518 za implementaciju Cerber ransomware-a u novembru 2023.
Napisano u C++, primarno korisno opterećenje djeluje kao učitavač za dodatni malver zasnovan na C++ tako što ih preuzima sa servera za naredbu i kontrolu (C2) i zatim briše svoje prisustvo sa zaraženog hosta.
Uključuje “agttydck.bat”, koji se izvršava za preuzimanje enkriptora (“agttydcb.bat”) koji je potom pokrenut primarnim korisnim opterećenjem.
Sumnja se da agttydck funkcioniše slično provjeri dozvola za malver, procjenjujući njegovu sposobnost pisanja u /tmp/ck.log datoteku. Tačna svrha ove provjere je nejasna.
Enkriptor, s druge strane, prolazi kroz root direktorij i šifrira sav sadržaj sa ekstenzijom .L0CK3D. Također ispušta napomenu o otkupnini u svaki direktorij. Međutim, nema eksfiltracije podataka uprkos suprotnim tvrdnjama u bilješci.
Najzanimljiviji aspekt napada je korištenje čistog C++ korisnog opterećenja, koje postaje rijetkost s obzirom na prelazak na višeplatformske programske jezike kao što su Golang i Rust.
“Cerber je relativno sofisticiran, iako zastario, ransomware teret”, rekao je Bill. “Dok korištenje ranjivosti Confluence omogućava kompromitaciju velike količine vjerovatnih sistema visoke vrijednosti, često će podaci koje je u stanju šifrirati biti ograničeni samo na konfluence podatke, a u dobro konfigurisanim sistemima to će biti sigurnosno kopirano.”
“Ovo uvelike ograničava efikasnost ransomware-a u izvlačenju novca od žrtava, jer postoji mnogo manje poticaja za plaćanje”, dodao je istraživač.
Razvoj dolazi usred pojave novih porodica ransomware-a kao što su Evil Ant, HelloFire, L00KUPRU (Xorist ransomware varijanta), Muliaka (bazirana na procurjelom Conti ransomware kodu), Napoli (varijanta ransomware-a Chaos), Red CryptoApp, i SEXi Risen (zasnovano na procurjelom Babuk ransomware kodu) koji su uočeni kako ciljaju na Windows i VMware ESXi servere.
Ransomware hakeri također koriste izvorni kod LockBit ransomware-a koji je procurio kako bi proizveli vlastite prilagođene varijante kao što su Lambda (aka Synapse), Mordor i Zgut, prema izvještajima FACCT-a i Kaspersky-og.
Potonja analiza procurjelih datoteka LockBit 3.0 builder otkrila je “alarmantnu jednostavnost” s kojom napadači mogu izraditi prilagođeni ransomware i povećati svoje mogućnosti moćnijim funkcijama.
Kaspersky je rekao da je otkrio prilagođenu verziju sa mogućnošću širenja po mreži putem PsExec-a koristeći prednosti ukradenih administratorskih akreditiva i obavljanjem zlonamjernih aktivnosti, kao što je ukidanje Microsoft Defender Antivirusa i brisanje Windows logova događaja kako bi se šifrirali podaci i prikrili tragovi.
“Ovo naglašava potrebu za snažnim sigurnosnim mjerama koje bi mogle efikasno ublažiti ovu vrstu prijetnji, kao i usvajanje kulture sajber sigurnosti među zaposlenima”, kažu iz kompanije.
Izvor: The Hacker News