Atlassian’ın Confluence Server işbirliği platformunda yakın zamanda açıklanan kritik bir uzaktan kod yürütme (RCE) güvenlik açığı, fidye yazılımı da dahil olmak üzere çeşitli kötü amaçlı yazılımları dağıtmaya yönelik bir dizi saldırıda şu anda aktif saldırı altındadır.

Sophos’tan araştırmacılar, son iki hafta içinde, saldırganların Windows ve Linux sunucularında çalışan savunmasız Confluence örneklerine karşı otomatik açıklardan yararlandığı birkaç saldırı gözlemledi. Güvenlik sağlayıcısı Perşembe günü yayınladığı bir raporda, Windows ile ilgili olayların en az ikisinde, saldırganların Cerber fidye yazılımını kurban ağlarına bırakmak için Atlassian güvenlik açığından yararlandığını söyledi.

Atlassian, Confluence Server’daki güvenlik açığını açıkladı (CVE-2022-26134) Anma Günü hafta sonu boyunca, Volexity’den araştırmacılar, bir müşteri konumundaki bir ihlali araştırırken keşfettikleri sorun hakkında şirkete bilgi verdikten sonra.

Atlassian Confluence Server ve Confluence Data Center’ın tüm güncel sürümlerinde bulunan hata, temel olarak kimliği doğrulanmamış saldırganlar işbirliği yazılımının güvenlik açığı bulunan bir sürümünü çalıştıran sistemlere uzaktan erişilebilen yalnızca bellek içi Web kabuğunu bırakmanın bir yolu. Volexity’nin araştırdığı saldırıda, tehdit aktörleri daha sonra diğer kötü amaçlı yazılımları tehlikeye atılan sisteme bırakmak için Web kabuğu erişimini kullandılar ve bu da diğer şeylerin yanı sıra onlara sürekli arka kapı erişimi sağladı.

Hata, saldırganlara Confluence ortamlarındaki potansiyel olarak hassas proje, müşteri ve diğer verilere erişmenin bir yolunu sağladığı için bazı endişeleri artırdı. Hata açıklandığında, Atlassian’ın bunun için bir yaması yoktu. Ancak, şirket bir gün sonra bir düzeltme yayınladı3 Haziran’da.

Devam Eden Birleşme Saldırıları

Sophos’a göre, savunmasız Confluence sunucularının sayısı o zamandan beri azalırken, saldırılar devam ediyor ve yama yapmayı her zamankinden daha önemli hale getiriyor. Güvenlik sağlayıcısının gözlemlediği saldırıların çoğunda, tehdit aktörleri, mevcut bir kötü amaçlı yazılım araçları koleksiyonunu daha geniş bir alana yaymaya çalışmak için dosyasız Web kabuğunu kullanıyor gibi görünüyordu.

Sophos’un gözlemlediği çeşitli yükler arasında, z0miner olarak bilinen bir kripto madenci olan Mirai bot varyantları ve çoğu Linux dağıtımında kök erişimi elde etmek için bir araç olan pwnkit yer alıyor. Sophos, saldırganların Atlassian Confluence güvenlik açığından yararlanarak ASP ve PHP tabanlı Web kabuklarını güvenlik açığı bulunan sistemlere, muhtemelen üzerlerine başka kötü amaçlı yazılımlar bırakmanın habercisi olarak bıraktığını da gözlemlediğini söyledi.

Sophos, saldırganların Confluence’ın savunmasız bir sürümünü çalıştıran Windows sunucularında uzlaşma sonrası Cobalt Strike araç setini dağıtmak için PowerShell komutları çalıştırdığını ve kabuk kodunu indirdiğini de gözlemlediğini söyledi. İki olayda, bir tehdit aktörü, kötü amaçlı yazılımı indirmek ve yürütmek için kodlanmış bir PowerShell komutu kullanarak Confluence istismarı aracılığıyla Cerber fidye yazılımını dağıtmaya çalıştı. Her iki olayda da saldırganlar, fidye ödemesini almak için ek kaldıraç olarak kullanılmak üzere kurbanlardan veri çaldıklarını ileri sürdüler.

Ancak Sophos, tehdit aktörlerinin gerçekte herhangi bir veriyi sızdırdığına dair hiçbir kanıt bulunmadığını söyledi.

Çifte Gasp Tehditleri

Cerber olayları gibi çifte gasp fidye yazılımı saldırıları, Maze fidye yazılımı grubunun 2020’nin başlarında trendi başlatmasından bu yana giderek daha yaygın hale geldi. Bu saldırılarla, tehdit aktörleri yalnızca verileri şifrelemekle kalmıyor, aynı zamanda fidye talep etmeleri durumunda verileri kamuya açıklama tehdidinde bulunuyorlar. karşılanmıyor.

Rapid7 tarafından yakın zamanda yapılan bir uygulama, tehdit aktörlerinin kurbanları fidye ödemeye zorlamaya çalıştığını gösterdi. en sık sızdırılmış önce bir şirketin finansal verileri (%63), ardından müşteri verileri (%48). Ancak Rapid7, saldırganların başlangıçta sızdırma eğiliminde olduğu veri türlerinde sektöre göre farklılıklar buldu.

Örneğin, finansal hizmet kurbanları söz konusu olduğunda, saldırganlar genellikle kurbanın dahili finansal verileri yerine müşteri verilerini (zamanın %83’ünde) sızdırma eğilimindeydi. Ancak, sağlık ve ilaç sektörlerindeki kuruluşlar söz konusu olduğunda, fidye yazılımı aktörleri, kurbanın finansal verilerini zamanın %71’inde sızdırdı; bu, müşteri verilerinin sızdırılmasını içeren olaylardan önemli ölçüde daha sıktı.

Rapid7, sızdırdıkları verilerin türü söz konusu olduğunda fidye yazılımı aktörleri arasındaki farklılıkları da keşfetti. Örneğin, Conti fidye yazılımını içeren olayların %81’i kamuya sızdırılmış mali verileri içeriyordu. Cl0p grubu ise çalışan bilgilerini (%70) diğer tüm bilgi türlerinden daha fazla ifşa etti.



siber-1