Bir tehdit aktörünün, araştırma ve teknik hizmetler sektöründeki isimsiz bir kuruluşa karşı daha önce hiç görülmemiş bir arka kapı dağıtmak için eski bir Atlassian Confluence sunucusundaki bir güvenlik açığından “büyük olasılıkla” yararlandığı söyleniyor.
Mayıs ayı sonunda yedi günlük bir süre boyunca ortaya çıkan saldırı, siber güvenlik firması Deepwatch tarafından takip edilen bir tehdit faaliyet kümesine bağlanıyor. TAC-040.
Şirket, “Kanıtlar, tehdit aktörünün Atlassian’ın Confluence dizinindeki bir ana tomcat9.exe işlemiyle kötü niyetli komutlar yürüttüğünü gösteriyor.” söz konusu. “İlk güvenlik açığından sonra, tehdit aktörü yerel sistemi, ağı ve Active Directory ortamını sıralamak için çeşitli komutlar çalıştırdı.”
Kullanıldığından şüphelenilen Atlassian güvenlik açığı, Confluence Sunucusu veya Veri Merkezi örneğinde rastgele kod yürütmenin önünü açan bir Nesne Grafiği Gezinme Dili (OGNL) ekleme hatası olan CVE-2022-26134’tür.
Gerçek dünya saldırılarında aktif istismar raporlarının ardından, sorun 4 Haziran 2022’de Avustralyalı şirket tarafından ele alındı.
Ancak adli eserlerin yokluğu göz önüne alındığında, Deepwatch, ihlalin alternatif olarak Confluence web uygulamasına ilk erişim elde etmek için Spring4Shell güvenlik açığından (CVE-2022-22965) yararlanılmasını gerektirebileceğini teorileştirdi.
TAC-040 hakkında, düşman kolektifin hedeflerinin casuslukla ilgili olabileceği gerçeği dışında pek bir şey bilinmiyor, ancak grubun bir yükleyicinin varlığına atıfta bulunarak finansal kazanç elde etme olasılığı göz ardı edilmedi. sistemde bir XMRig kripto madencisi.
Bu olayda madencinin idam edildiğine dair bir kanıt bulunmamakla birlikte, tehdit aktörlerinin sahip olduğu Monero adresi, diğer sistemlerin bilgi işlem kaynaklarını yasadışı bir şekilde kripto para madenciliği yapmak için ele geçirerek en az 652 XMR (106.000 $) elde etti.
Saldırı zinciri, güvenliği ihlal edilmiş sunucuda Ljl Backdoor adlı daha önce belgelenmemiş bir implantın konuşlandırılması için de dikkate değerdir. Ağ günlüklerinin analizine göre, yaklaşık 700 MB arşivlenmiş verinin, sunucu kurban tarafından çevrimdışına alınmadan önce sızdırıldığı tahmin ediliyor.
Kötü amaçlı yazılım, kendi adına, dosyaları ve kullanıcı hesaplarını toplamak, rastgele .NET yüklerini yüklemek ve sistem bilgilerinin yanı sıra kurbanın coğrafi konumunu da toplamak için tasarlanmış tam özellikli bir truva atı virüsüdür.
Araştırmacılar, “Kurban, sunucuyu çevrimdışına alarak, potansiyel olarak ek hassas verilerin sızmasını önleyerek ve tehdit aktörünün/aktörlerinin daha fazla kötü niyetli faaliyet yürütme yeteneğini kısıtlayarak tehdit aktörünün çevre içinde yanlamasına hareket etme yeteneğini reddetti.” Dedi.