威胁行为者继续利用 1 月份发现的关键远程代码执行 (RCE) Atlassian 错误,使用新的攻击媒介将目标云环境转变为加密挖掘网络。Trend Micro 发现了两种独立的攻击,它们利用该漏洞(在 Confluence 数据中心和 Confluence 服务器中被跟踪为 CVE-2023-22527)进行非法加密劫持攻击,耗尽网络资源。该服务器用于 Atlassian Confluence 的企业级部署,Atlassian Confluence 是一个协作和文档平台,专为团队和组织创建、共享和协作处理内容而设计。发现后,该漏洞在通用漏洞评分系统 (CVSS) 上获得了 10 分(满分 10 分),因此研究人员从一开始就知道它在 从勒索软件到网络间谍的攻击中具有很大的利用潜力。根据 Trend Micro 于 8 月 28 日发布的一篇博文,在发现该漏洞并随后由 Atlassian 修补八个月后,现在可以将加密劫持添加到该列表中。“这些攻击涉及威胁行为者,这些威胁行为者采用的方法包括部署 shell 脚本和 XMRig 矿工、以 SSH 端点为目标、杀死竞争的加密挖掘进程以及通过 cron 作业保持持久性,”趋势科技威胁研究高级工程师 Abdelrahman Esmail 在帖子中写道。在过去几个月中,Trend Micro 还发现了数千次利用最高关键 CVE-2023-22527 的其他尝试,因此建议那些使用服务器但尚未修补其环境的人应尽快进行修补。CVE-2023-22527 的新攻击媒介通过滥用 CVE-2023-22527,未经身份验证的攻击者可以实现模板注入,实质上是在受影响的实例上启用 RCE。Trend Micro 发现了三个威胁行为者利用该漏洞进行加密劫持攻击。但是,博文中仅描述了两种不同的攻击媒介。第一个应用程序利用了面向公众的 Confluence Server 应用程序中的漏洞,对环境进行了初始访问。然后,攻击者通过 ELF 文件有效负载执行 XMRig 矿工,在此过程中劫持系统资源。第二个攻击向量要复杂得多。据 Trend Micro 称,它使用 shell 脚本通过安全 Shell (SSH) 上的 shell 文件为客户环境中所有可访问的端点执行矿工活动。攻击者下载了 shell 文件并从内存中使用 bash 运行它,然后杀死了所有已知的加密挖矿进程和从 /tmp/ 目录运行的任何进程。然后,他们删除了所有 cron 作业,添加了一个每 5 分钟运行一次的新作业,以检查命令和控制 (C2) 服务器通信。为避免被发现,攻击者还卸载了阿里云盾等安全服务,同时阻止了阿里云盾 IP 地址。在加密劫持开始之前,攻击者还关闭了系统上存在的其他安全工具。与此同时,Esmail 在帖子中解释说,攻击者确定了当前机器的 IP 地址并收集了所有可能的用户、IP 地址和密钥的数据,使用这些信息通过 SSH 瞄准其他远程系统以执行进一步的加密挖掘活动。完成此操作后,攻击者通过 SSH 对目标其他主机发起自动攻击,然后通过其他 cron 作业保持对服务器的访问。“在确保终止或删除所有云监控和安全服务后,攻击者终止了利用 CVE-2023-22527 的入口点进程,并下载 XMRig 矿工以开始挖矿活动,”Esmail 写道。加密挖矿开始后,攻击者就会通过清除日志和 bash 历史记录来删除其活动的所有痕迹。针对 Atlassian Confluence 攻击的进一步缓解措施及时修补软件、操作系统和应用程序的错误是防止此类漏洞被利用的最有效方法,但 Trend Micro 还为云环境的管理员提出了其他建议。这些措施包括实施网络分段,这可以减少基于漏洞利用的攻击的影响,并且组织应定期进行安全审计和漏洞评估,以帮助在漏洞利用发生之前发现和解决基础设施中的弱点。除此之外,组织应制定可靠的事件响应计划,以确保在发生泄露时做出快速有效的反应。
