Görüntü: Silvan ARNET
Yeni benekli bir fidye yazılım grubu olan Atom Silosu, fidye yazılımı yüklerini dağıtmak için son zamanlarda yamalı ve aktif olarak yararlanılan bir Confluence Server ve Veri Merkezi güvenlik açığını hedefliyor.
Atlassian Confluence, çalışanların çeşitli projelerde işbirliği yapmalarına yardımcı olan oldukça popüler bir web tabanlı kurumsal ekip çalışma alanıdır.
25 Ağustos'ta, Atlassian, CVE-2021-26084 olarak izlenen ve vahşi doğada sömürülen bir Confluence Uzak Kod Yürütme (RCE) güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı.
Başarılı bir sömürü, unutulmamış saldırganların, uzaktan açılmamış sunuculardaki komutları çalıştırmalarını sağlar.
Keşif, yeni bir olayı araştırırken Sophoslabs araştırmacıları tarafından yapıldı. Ayrıca, bu yeni grubun kullandığı fidye yazılımının, Lockbit Ransomware grubu tarafından kullanılan birine çok benzer olan LockFile ile neredeyse aynı olduğunu buldular.
Bununla birlikte, Atom Silo operatörleri ", son nokta koruma yazılımını belirlemek için uyarlanmış kötü amaçlı dinamik bağlantı kütüphanelerinin yan yüklenmesi de dahil olmak üzere, araştırmayı çok zorlaştıran birkaç yeni teknik kullanır."
Birleşme sunucularını tehlikeye attıktan ve bir arka kapı taktıktan sonra, tehdit aktörleri, ihlal edilen sisteme başlatmak için DLL tarafı yüklemeyi kullanarak ikinci aşamalı bir gizli arka kapı düşürür.
Atom Silo tarafından konuşlandırılan Ransomware yükleri ayrıca, son nokta koruma çözümlerini bozmak için kullanılan kötü amaçlı bir çekirdek sürücüsü ile birlikte gelir ve algılama.
"Sophos'un soruşturulan olayı, fidye yazılımı manzarasının ne kadar çabuk evrimleşebileceğini gösterdiğini gösteriyor. Bu, Sean Gallagher, Sophos'un Sean Gallagher," Birkaç hafta öncesine kadar bilinmiyor "dedi.
"Son zamanlarda keşfedilen başka bir Ransomware grubuna benzerken, Lockfile, Atom Silosu, kendi çantası ile yeni ve sofistike taktikler, bükülme ve dönüşlerle dolu teknik ve prosedürlerle ortaya çıktı ve muhtemelen kasıtlı olarak.
"Buna ek olarak, Atom Silosu, yeni yollarla kullanılan iyi aşınmış teknikler içeren fidye yazılımını başlatmadan önce tespiti kaçırmak için önemli çaba sarfetti. Sınırdakik merkezlerin kendileri dışında, saldırganlar sadece yerel Windows Araçları ve Kaynakları, ağ içinde hareket ettirmek için Ransomware'i kullandılar. "
Atom Silo'nun uzlaşması ve yanal hareketi taktikleri hakkında daha fazla teknik detaylar Sophoslabs raporunda bulunabilir.
BleepingComputer'ın Eylül ayının başında bildirdiği gibi, çoklu tehdit aktörleri son zamanlarda açıklanan CVE-2021-26084 CRYPTO Madencileri'ni yüklemek için CVE-2021-26084 CONFLUFE RCE-2021-26084 CONFLICE RCE güvenlik açığını taramaya başladı.
BleepingComputer, saldırganların Crypto madencilerini (örneğin, XMRIG Monero Cryptocurrency Madencileri) Windows ve Linux Confluence sunucularında kurduğunu doğruladı.
ABD Cyber Command (USCYBERCOM), Eylül ayının başlarında, ABD örgütlerini çok büyük bir sömürü altında olduğu gibi derhal eleştirel Atlassian Confluence kırılganlığını düzeltmek için idrar yapmak için nadir bir uyarı verdi.
USCYBERCOM ünitesi, tüm savunmasız birleşme sunucularını mümkün olan en kısa sürede yamalamanın önemini vurguladı: "Lütfen henüz yapmadıysanız hemen düzeltiniz, bu hafta sonundan sonra bekleyemezsiniz."
#ActionRequired yama hemen! https://t.co/b6eaydfuw4
CISA ayrıca, yakın zamanda Atlassian tarafından verilen Confluence Güvenlik Güncellemelerini hemen uyguladıklarını da uyardı.
BleepingComputer zamanında uyarıldıkça, bu saldırganlar sadece kriptokurans madencilerini kullanmasına rağmen, tehdit aktörleri hacked on-Prem Confluence sunucularından gelen kurumsal ağlar aracılığıyla yanal olarak hareket etmeye başladıktan sonra, fidye yazılım yükleme yüklemelerine ve veri çıkartmalarına hızla yükseltebilirler.
Gallagher ekledi, "Bu olay da, internet yüzlü yazılımlardaki genel olarak açıklanmış güvenlik açıklarının ne kadar tehlikeli olduğunu, nispeten kısa bir süre için bile ayrıldıktan sonra ne kadar tehlikeli olduğunu hatırlatıyor."
"Bu durumda, kırılganlık, kapıyı eşzamanlı olarak açtı, ancak Ransomware ve Crypto-madenciden alakasız saldırılar."
Cryptominers yüklemek için ATLASSIAN CONFLICE FLAW aktif olarak kullanıyor
Ransomware Gang, Python Script ile VMware ESXI sunucularını şifreler
Ukrayna'da yüzlerce saldırının arkasındaki fidye yazılımı operatörleri tutuklandı
Ukrayna Clop Ransomware Gang üyelerini tutukladı, sunucuları ele geçirdi
Sandhills Online Makine Piyasaları Ransomware Attack tarafından Kapatıldı
Kaynak: Bleeping Computer