威胁行为者正在积极利用影响 Atlassian Confluence 数据中心和 Confluence Server 的现已修补的关键安全漏洞,在易受攻击的实例上进行非法加密货币挖掘。
“这些攻击涉及威胁行为者,他们采用的方法包括部署 shell 脚本和 XMRig 矿工、以 SSH 端点为目标、杀死竞争的加密挖掘进程以及通过 cron 作业保持持久性,”趋势科技研究员 Abdelrahman Esmail 说。
利用的安全漏洞是 CVE-2023-22527,这是旧版本的 Atlassian Confluence Data Center 和 Confluence Server 中的最大严重性漏洞,可能允许未经身份验证的攻击者实现远程代码执行。这家澳大利亚软件公司于 2024 年 1 月中旬解决了这个问题。
Trend Micro 表示,在 2024 年 6 月中旬至 7 月底期间,它观察到大量针对该漏洞的利用尝试,这些漏洞利用该漏洞在未修补的主机上放置 XMRig 矿工。据说至少有三个不同的威胁行为者是恶意活动的幕后黑手 –
- 使用特别构建的请求通过 ELF 文件有效负载启动 XMRig 矿工
- 使用 shell 脚本首先终止竞争的加密劫持活动(例如 Kinsing、givemexyz),删除所有现有的 cron 作业,卸载阿里巴巴和腾讯的云安全工具,并收集系统信息,然后设置一个新的 cron 作业,每 5 分钟检查一次命令和控制 (C2) 服务器连接并启动矿工。
“随着威胁行为者不断利用 CVE-2023-22527,CVE-2023-22527 给全球组织带来了重大的安全风险,”Esmail 说。
“为了最大限度地降低与此漏洞相关的风险和威胁,管理员应尽快将其 Confluence Data Center 和 Confluence Server 版本更新到最新的可用版本。”
发表评论
您还未登录,请先登录。
登录