Участники угрозы используют не исправленные серверы Atlassian для развертывания Linux-версии Cerber (также известной как C3RB3R)-программы-вымогателя.
В атаках используется CVE-2023-22518 (оценка CVSS: 9.1), критическая уязвимость системы безопасности, влияющая на Центр обработки данных Atlassian Confluence и сервер, которая позволяет злоумышленнику, не прошедшему проверку подлинности, сбросить Confluence и создать учетную запись администратора.
Вооруженный этим доступом субъект угрозы может захватить уязвимые системы, что приведет к полной потере конфиденциальности, целостности и доступности.
По данным фирмы по облачной безопасности Cado, были замечены финансово мотивированные группы киберпреступников, злоупотребляющие недавно созданной учетной записью администратора для установки плагина Effluence web shell и позволяющие выполнять произвольные команды на хосте.
"Злоумышленник использует эту веб-оболочку для загрузки и запуска основной полезной нагрузки Cerber", - сказал Нейт Билл, инженер по анализу угроз в Cado, в отчете, опубликованном в Hacker News.
"При установке по умолчанию приложение Confluence запускается от имени пользователя confluence с низкими привилегиями. Таким образом, данные, которые программа-вымогатель способна шифровать, ограничены файлами, принадлежащими пользователю confluence."
Стоит отметить, что использование CVE-2023-22518 для развертывания Cerber ransomware было ранее освещено Rapid7 в ноябре 2023 года.
Написанная на C ++, основная полезная нагрузка действует как загрузчик для дополнительных вредоносных программ на основе C ++, извлекая их с командно-контрольного сервера (C2), а затем стирая свое собственное присутствие с зараженного хоста.
Она включает "agttydck.bat", который выполняется для загрузки шифровальщика ("agttydcb.bat"), который впоследствии запускается основной полезной нагрузкой.
Предполагается, что agttydck функционирует аналогично проверке разрешений для вредоносного ПО, оценивая его способность выполнять запись в файл / tmp / ck.log. Точная цель этой проверки неясна.
Шифровальщик, с другой стороны, обходит корневой каталог и шифрует все содержимое расширением .L0CK3D. Он также отправляет уведомление о выкупе в каждый каталог. Однако, несмотря на утверждения об обратном в примечании, эксфильтрация данных не происходит.
Наиболее интересным аспектом атак является использование полезных нагрузок на чистом C ++, которые становятся редкостью, учитывая переход на кроссплатформенные языки программирования, такие как Golang и Rust.
"Cerber - относительно сложная, хотя и устаревшая программа-вымогатель", - сказал Билл. "Хотя использование уязвимости Confluence позволяет ей компрометировать большое количество систем с высокой вероятностью ценности, часто данные, которые она способна зашифровать, будут ограничены только данными confluence, и в хорошо настроенных системах для них будет создана резервная копия".
"Это сильно ограничивает эффективность программы-вымогателя в получении денег от жертв, поскольку у нее гораздо меньше стимулов платить", - добавил исследователь.
Разработка происходит на фоне появления новых семейств программ-вымогателей, таких как Evil Ant, HelloFire, L00KUPRU (вариант программы-вымогателя Xorist), Muliaka (на основе просочившегося кода программы-вымогателя Conti), Napoli (вариант программы-вымогателя Chaos), Red CryptoApp, Risen и SEXi (на основе просочившегося кода программы-вымогателя Babuk), которые были обнаружены нацеленными на Серверы Windows и VMware ESXi.
Злоумышленники-вымогатели также используют утечку исходного кода программы-вымогателя LockBit для создания своих собственных пользовательских вариантов, таких как Lambda (он же Synapse), Mordor и Zgut, согласно отчетам F.A.C.C.T. и Касперского.
Проведенный последней анализ просочившихся файлов конструктора LockBit 3.0 выявил "пугающую простоту", с которой злоумышленники могут создавать программы-вымогатели на заказ и расширять свои возможности более мощными функциями.
Касперский заявил, что обнаружил адаптированную версию с возможностью распространения по сети через PsExec, используя украденные учетные данные администратора и выполняя вредоносные действия, такие как завершение работы антивируса Microsoft Defender и стирание журналов событий Windows, чтобы зашифровать данные и замести следы.
"Это подчеркивает необходимость надежных мер безопасности, способных эффективно смягчать угрозы такого рода, а также внедрения культуры кибербезопасности среди сотрудников", - заявили в компании.
В атаках используется CVE-2023-22518 (оценка CVSS: 9.1), критическая уязвимость системы безопасности, влияющая на Центр обработки данных Atlassian Confluence и сервер, которая позволяет злоумышленнику, не прошедшему проверку подлинности, сбросить Confluence и создать учетную запись администратора.
Вооруженный этим доступом субъект угрозы может захватить уязвимые системы, что приведет к полной потере конфиденциальности, целостности и доступности.
По данным фирмы по облачной безопасности Cado, были замечены финансово мотивированные группы киберпреступников, злоупотребляющие недавно созданной учетной записью администратора для установки плагина Effluence web shell и позволяющие выполнять произвольные команды на хосте.
"Злоумышленник использует эту веб-оболочку для загрузки и запуска основной полезной нагрузки Cerber", - сказал Нейт Билл, инженер по анализу угроз в Cado, в отчете, опубликованном в Hacker News.
"При установке по умолчанию приложение Confluence запускается от имени пользователя confluence с низкими привилегиями. Таким образом, данные, которые программа-вымогатель способна шифровать, ограничены файлами, принадлежащими пользователю confluence."
Стоит отметить, что использование CVE-2023-22518 для развертывания Cerber ransomware было ранее освещено Rapid7 в ноябре 2023 года.
Написанная на C ++, основная полезная нагрузка действует как загрузчик для дополнительных вредоносных программ на основе C ++, извлекая их с командно-контрольного сервера (C2), а затем стирая свое собственное присутствие с зараженного хоста.
Она включает "agttydck.bat", который выполняется для загрузки шифровальщика ("agttydcb.bat"), который впоследствии запускается основной полезной нагрузкой.
Предполагается, что agttydck функционирует аналогично проверке разрешений для вредоносного ПО, оценивая его способность выполнять запись в файл / tmp / ck.log. Точная цель этой проверки неясна.
Шифровальщик, с другой стороны, обходит корневой каталог и шифрует все содержимое расширением .L0CK3D. Он также отправляет уведомление о выкупе в каждый каталог. Однако, несмотря на утверждения об обратном в примечании, эксфильтрация данных не происходит.
Наиболее интересным аспектом атак является использование полезных нагрузок на чистом C ++, которые становятся редкостью, учитывая переход на кроссплатформенные языки программирования, такие как Golang и Rust.
"Cerber - относительно сложная, хотя и устаревшая программа-вымогатель", - сказал Билл. "Хотя использование уязвимости Confluence позволяет ей компрометировать большое количество систем с высокой вероятностью ценности, часто данные, которые она способна зашифровать, будут ограничены только данными confluence, и в хорошо настроенных системах для них будет создана резервная копия".
"Это сильно ограничивает эффективность программы-вымогателя в получении денег от жертв, поскольку у нее гораздо меньше стимулов платить", - добавил исследователь.
Разработка происходит на фоне появления новых семейств программ-вымогателей, таких как Evil Ant, HelloFire, L00KUPRU (вариант программы-вымогателя Xorist), Muliaka (на основе просочившегося кода программы-вымогателя Conti), Napoli (вариант программы-вымогателя Chaos), Red CryptoApp, Risen и SEXi (на основе просочившегося кода программы-вымогателя Babuk), которые были обнаружены нацеленными на Серверы Windows и VMware ESXi.
Злоумышленники-вымогатели также используют утечку исходного кода программы-вымогателя LockBit для создания своих собственных пользовательских вариантов, таких как Lambda (он же Synapse), Mordor и Zgut, согласно отчетам F.A.C.C.T. и Касперского.
Проведенный последней анализ просочившихся файлов конструктора LockBit 3.0 выявил "пугающую простоту", с которой злоумышленники могут создавать программы-вымогатели на заказ и расширять свои возможности более мощными функциями.
Касперский заявил, что обнаружил адаптированную версию с возможностью распространения по сети через PsExec, используя украденные учетные данные администратора и выполняя вредоносные действия, такие как завершение работы антивируса Microsoft Defender и стирание журналов событий Windows, чтобы зашифровать данные и замести следы.
"Это подчеркивает необходимость надежных мер безопасности, способных эффективно смягчать угрозы такого рода, а также внедрения культуры кибербезопасности среди сотрудников", - заявили в компании.
