据观察,威胁行为者利用未打补丁的 Atlassian 服务器并部署 Cerber 勒索软件的 Linux 变体(也称为 C3RB3R)。
这些攻击利用了Atlassian Confluence 数据中心和服务器中的一个严重安全漏洞CVE-2023-22518,使未经身份验证的攻击者能够重置 Confluence 并创建管理员帐户。
有了这种访问权限,威胁行为者就可以控制系统,从而冒着失去机密性、完整性和可用性的风险。出于经济动机的网络犯罪团伙利用新创建的管理员帐户安装 Effluence Web shell 插件,从而促进任意命令执行。
Cado 的威胁情报工程师内特·比尔 (Nate Bill) 在周二发表的博客文章中讨论了这一发现。他指出,主要的 Cerber 有效负载在“confluence”用户下执行,将其加密范围限制为该用户拥有的文件。 Rapid7 曾于2023 年 11 月标记过此漏洞。
该勒索软件的核心组件是用 C++ 编写的,它充当同样用 C++ 编写的更多有害软件的载体。该附加软件是从攻击者控制的中央服务器获取的。
一旦其任务完成,主要的勒索软件组件就会从系统中删除。涉及其他两个组件:一个检查勒索软件是否具有必要的权限,而另一个则对计算机上的文件进行加密,使它们在支付赎金之前无法访问。
尽管勒索信中有声称,但没有发生数据泄露。 Bill 表示,在转向 Golang 和 Rust 等跨平台语言的过程中,纯 C++ 有效负载的主导地位值得注意。
这位安全研究人员强调了Cerber 的复杂性,但也指出了仅加密 Confluence 数据的局限性,特别是在配置良好且具有备份的系统中,从而降低了受害者付费的动力。
这些发展与针对 Windows 和 VMware ESXi 服务器的新勒索软件系列的出现同时发生。此外,勒索软件攻击者正在使用泄露的 LockBit 勒索软件源代码定制变体,这突显了员工需要强大的安全措施和强大的网络安全文化。
发表评论
您还未登录,请先登录。
登录