Otkriven je sofisticirani napad ransomware-a koji koristi kritičnu ranjivost Atlassian Confluence-a (CVE-2023-22527, CVSS 10.0), koji je kulminirao implementacijom LockBit Black ransomware-a u korporativne mreže u roku od dva sata od početnog kompromitovanja.
Napadači su orkestrovali višestepeni upad koji je uključivao krađu akreditiva, bočno kretanje putem RDP-a i automatizovanu distribuciju ransomware-a koristeći legitimne alate kao što je PDQ Deploy.
.webp)
Kršenje je počelo eksploatacijom CVE-2023-22527, greške u ubrizgavanju šablona na strani servera koja omogućava neautorizovano daljinsko izvršavanje koda (RCE).
.webp)
Napadači su ubacili maliciozne izraze Object-Graph Navigation Language (OGNL) putem HTTP POST zahtjeva za /template/aui/text-inline.vm, omogućavajući izvršavanje komande kao NETWORK SERVICEnalog.
Dok su analitičari sajber sigurnosti u The DFIR Report-u primijetili da su početne komande za izviđanje poput net useri whoamibile izvršene putem Python skripte, o čemu svjedoči python-requests/2.25korisnički agent u zapisnicima servera.
POST /template/aui/text-inline.vm HTTP/1.1
User-Agent: python-requests/2.25
...
Content: ...freemarker.template.utility.Execute().exec({"whoami"}) Nakon uspostavljanja Meterpreter sesije putem maliciozne HTA datoteke, napadači su se okrenuli na AnyDesk radi trajnog pristupa.
Onemogućili su odbranu tako što su u Windows Start meni ukucali “virus” kako bi deaktivirali Defender i obrisali evidenciju koristeći PowerShell:-
wevtutil el | ForEach-Object { wevtutil cl "$_" } Nakon eksfiltracije, hakeri su izbrisali alate kao što su Mimikatz i Rclone kako bi izbrisali tragove:-
C:\temp\mimikatz\x64\mimikatz.exe
C:\temp\rclone\rclone.exe .webp)
Impact i Ransomware implementacija
LockBit je implementiran pomoću PDQ Deploy, legitimnog IT alata, za izvršavanje skripte ( asd.bat) na umreženim uređajima. Skripta je pokrenula ransomware enkripciju, dodajući ekstenziju .rhddiicoEdatotekama i modifikujući pozadine radne površine s LockBitovim potpisom slika.
@echo off
start cmd /k "C:\temp\LBB.exe -path \\TARGET\C$\" .webp)
Eksfiltracija podataka prethodila je šifrovanju, sa 1,5+ GB prebačenim na MEGA.io preko Rclone-a. Infrastruktura hakera, povezana sa ruskim IP adresama i Flyservers SA, odražava taktiku koja je ranije bila povezana sa LockBit filijalama.
Ovaj incident opisuje kritičnu potrebu za zakrpom Confluence servera i revizijom alata za daljinski pristup.
Izvor: CyberSecurityNews
