Se dice que un actor de amenazas “muy probablemente” explot\u00f3 una falla de seguridad en un servidor Atlassian Confluence obsoleto para implementar una puerta trasera nunca antes vista contra una organizaci\u00f3n no identificada en el sector de servicios t\u00e9cnicos y de investigaci\u00f3n.<\/p>\n
El ataque, que ocurri\u00f3 durante un per\u00edodo de siete d\u00edas a fines de mayo, se atribuy\u00f3 a un grupo de actividad de amenazas rastreado por la firma de seguridad cibern\u00e9tica Deepwatch como TAC-040<\/strong>.<\/p>\n “La evidencia indica que el actor de amenazas ejecut\u00f3 comandos maliciosos con un proceso principal de tomcat9.exe en el directorio Confluence de Atlassian”, dijo la compa\u00f1\u00eda. dijo<\/a>. “Despu\u00e9s del compromiso inicial, el actor de amenazas ejecut\u00f3 varios comandos para enumerar el sistema local, la red y el entorno de Active Directory”.<\/p>\n La vulnerabilidad de Atlassian que se sospecha que ha sido explotada es CVE-2022-26134, una falla de inyecci\u00f3n de Object-Graph Navigation Language (OGNL) que allana el camino para la ejecuci\u00f3n de c\u00f3digo arbitrario en una instancia de Confluence Server o Data Center.<\/p>\n Tras los informes de explotaci\u00f3n activa en ataques del mundo real, la empresa australiana abord\u00f3 el problema el 4 de junio de 2022.<\/p>\n Pero dada la ausencia de artefactos forenses, Deepwatch teoriz\u00f3 que la violaci\u00f3n podr\u00eda haber implicado alternativamente la explotaci\u00f3n de la vulnerabilidad Spring4Shell (CVE-2022-22965) para obtener acceso inicial a la aplicaci\u00f3n web Confluence.<\/p>\n No se sabe mucho sobre el TAC-040 aparte del hecho de que los objetivos del colectivo adversario podr\u00edan estar relacionados con el espionaje, aunque no se descarta la posibilidad de que el grupo pudiera haber actuado con fines de lucro, citando la presencia de un cargador para un minero criptogr\u00e1fico XMRig en el sistema.<\/p>\n Si bien no hay evidencia de que el minero haya sido ejecutado en este incidente, la direcci\u00f3n de Monero propiedad de los actores de la amenaza ha generado al menos 652 XMR ($ 106,000) al secuestrar los recursos inform\u00e1ticos de otros sistemas para extraer criptomonedas de manera il\u00edcita.<\/p>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgvfqow2z1XORevUpzKGWWXZ2DP4dMaNi-7cycpa3J_bSZKv0tO6MP40HLl7lvVJDIswOmb6I-YoNMLJym4v9oLZQczujsMqcttB3M_Cvm6E-zLs0XrpwaTZ_SGFjckDfi3CPfijZaii8Z88_btcKeHKKfxm7cDyF3kaVvsirGpb2JWVH0Ot3xGiC2sZg\/s1600\/strike-728.png\")
<\/a><\/div>\n
![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n