Новый вымогатель Atom Silo нацелен на уязвимые серверы Confluence

30
Правительства превращают банду программ-вымогателей REvil в офлайн

Atom Silo, недавно обнаруженная группа программ-вымогателей, нацелена на недавно исправленную и активно используемую уязвимость Confluence Server и Data Center для развертывания полезной нагрузки программ-вымогателей.

Atlassian Confluence — это очень популярное корпоративное рабочее пространство в сети, которое помогает сотрудникам совместно работать над различными проектами.

25 августа Atlassian выпустила обновления безопасности для исправления уязвимости Confluence, связанной с удаленным выполнением кода (RCE), которая отслеживается как CVE-2021-26084 и эксплуатируется в «дикой природе».

Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять команды на непропатченных серверах.

Банды вымогателей начинают атаковать серверы Confluence

Открытие было сделано исследователями SophosLabs во время расследования недавнего инцидента. Они также обнаружили, что программа-вымогатель, используемая этой новой группой, почти идентична LockFile , которая сама по себе очень похожа на программу, используемую группой вымогателей LockBit .

Однако операторы Atom Silo используют «несколько новых методов, которые чрезвычайно затрудняют расследование, включая загрузку вредоносных библиотек динамической компоновки, специально предназначенных для нарушения работы программного обеспечения для защиты конечных точек».

После компрометации серверов Confluence и установки бэкдора злоумышленники сбрасывают скрытый бэкдор второго уровня, используя боковую загрузку DLL, чтобы запустить его в взломанной системе.

Полезные нагрузки программ-вымогателей, развернутые Atom Silo, также поставляются с вредоносным драйвером ядра, используемым для нарушения решений защиты конечных точек и уклонения от обнаружения.

«Инцидент, расследуемый Sophos, показывает, насколько быстро может развиваться ландшафт программ-вымогателей. Этот сверхзащитный противник был неизвестен еще несколько недель назад», — сказал Шон Галлахер, старший исследователь угроз в Sophos.

«Atom Silo, подобно другой недавно обнаруженной группе программ-вымогателей, LockFile, появился со своим собственным набором новых и сложных тактик, техник и процедур, которые были полны поворотов и сложностей для обнаружения — вероятно, намеренно.

«Кроме того, Atom Silo приложила значительные усилия, чтобы избежать обнаружения до запуска программы-вымогателя, которая включала в себя устаревшие методы, используемые по-новому. Помимо самих бэкдоров, злоумышленники использовали только собственные инструменты и ресурсы Windows для перемещения по сети до тех пор, пока они развернули программу-вымогатель «.

Дополнительные технические подробности о тактике компромисса и бокового перемещения Atom Silo можно найти в отчете SophosLabs.

Сильно эксплуатируемая уязвимость Confluence

В начале сентября, несколько злоумышленников начали сканирование и использование недавно обнаруженной уязвимости CVE-2021-26084 Confluence RCE для установки криптомайнеров после того, как эксплойт PoC был выпущен через шесть дней после выпуска исправлений Atlassian.

Киберкомандование США (USCYBERCOM) выпустило редкое предупреждение в начале сентября, чтобы призвать организации США немедленно исправить критическую уязвимость Atlassian Confluence, поскольку она уже подвергалась массовой эксплуатации.

Подразделение USCYBERCOM также подчеркнуло важность скорейшего исправления всех уязвимых серверов Confluence: «Пожалуйста, исправьте немедленно, если вы еще этого не сделали — это не может ждать до конца уик-энда».

CISA также предупредила администраторов о необходимости немедленного применения обновлений безопасности Confluence, недавно выпущенных Atlassian.

Как предупреждал проект в то время, хотя эти злоумышленники развертывали только майнеры криптовалюты, они могли быстро перерасти в полезные нагрузки вымогателей и кражу данных, как только злоумышленники начнут горизонтально перемещаться по корпоративным сетям со взломанных локальных серверов Confluence.

«Этот инцидент также является хорошим напоминанием о том, насколько опасны публично раскрытые уязвимости безопасности в программном обеспечении с выходом в Интернет, если их не исправить даже в течение относительно короткого времени», — добавил Галлахер.

«В данном случае уязвимость открыла дверь для двух одновременных, но не связанных между собой атак со стороны программы-вымогателя и криптомайнера».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here