Bedreigingsactoren maken misbruik van niet-gepatchte Atlassian-servers om een Linux-variant van Cerber-ransomware (ook bekend als C3RB3R) te implementeren.
De aanvallen maken gebruik van CVE-2023-22518 (CVSS-score: 9,1), een kritiek beveiligingsprobleem dat gevolgen heeft voor het Atlassian Confluence Data Center en Server, waardoor een niet-geverifieerde aanvaller Confluence kan resetten en een beheerdersaccount kan maken.
Gewapend met deze toegang zou een bedreigingsacteur getroffen systemen kunnen overnemen, wat zou leiden tot een volledig verlies van vertrouwelijkheid, integriteit en beschikbaarheid.
Volgens cloudbeveiligingsbedrijf Cado is waargenomen dat financieel gemotiveerde cybercriminaliteitsgroepen het nieuw aangemaakte beheerdersaccount misbruiken om de Effluence webshell-plug-in te installeren en de uitvoering van willekeurige opdrachten op de host mogelijk te maken.
“De aanvaller gebruikt deze webshell om de primaire Cerber-payload te downloaden en uit te voeren”, zegt Nate Bill, threat intelligence engineer bij Cado, in een rapport gedeeld met The Hacker News.
“Bij een standaardinstallatie wordt de Confluence-applicatie uitgevoerd als de 'confluence'-gebruiker, een gebruiker met weinig rechten. Als zodanig zijn de gegevens die de ransomware kan versleutelen beperkt tot bestanden die eigendom zijn van de confluence-gebruiker.”
Het is vermeldenswaard dat de exploitatie van CVE-2023-22518 om de Cerber-ransomware in te zetten eerder werd benadrukt door Rapid7 in november 2023.
De primaire payload is geschreven in C++ en fungeert als lader voor aanvullende op C++ gebaseerde malware door deze op te halen van een command-and-control (C2)-server en vervolgens zijn eigen aanwezigheid van de geïnfecteerde host te wissen.
Het bevat “agttydck.bat”, dat wordt uitgevoerd om de encryptor (“agttydcb.bat”) te downloaden die vervolgens door de primaire payload wordt gelanceerd.
Er wordt vermoed dat agttydck vergelijkbaar is met een toestemmingscontrole voor de malware, waarbij het vermogen wordt beoordeeld om naar een /tmp/ck.log-bestand te schrijven. Het exacte doel van deze controle is onduidelijk.
De encryptor doorkruist daarentegen de hoofdmap en codeert alle inhoud met de extensie .L0CK3D. Het plaatst ook een losgeldbriefje in elke map. Er vindt echter geen gegevensexfiltratie plaats ondanks beweringen van het tegendeel in de notitie.
Het meest interessante aspect van de aanvallen is het gebruik van pure C++-payloads, die een zeldzaamheid aan het worden zijn gezien de verschuiving naar platformonafhankelijke programmeertalen zoals Golang en Rust.
“Cerber is een relatief geavanceerde, zij het verouderde, ransomware-payload”, zegt Bill. “Hoewel het gebruik van de Confluence-kwetsbaarheid het mogelijk maakt een groot aantal waarschijnlijk hoogwaardige systemen in gevaar te brengen, zullen de gegevens die het kan versleutelen vaak beperkt blijven tot alleen de samenvloeiingsgegevens en in goed geconfigureerde systemen zal hiervan een back-up worden gemaakt.”
“Dit beperkt de doeltreffendheid van de ransomware bij het extraheren van geld van slachtoffers aanzienlijk, omdat er veel minder prikkels zijn om te betalen”, voegde de onderzoeker eraan toe.
De ontwikkeling vindt plaats te midden van de opkomst van nieuwe ransomware-families zoals Evil Ant, HelloFire, L00KUPRU (een Xorist-ransomwarevariant), Muliaka (gebaseerd op de gelekte Conti-ransomwarecode), Napoli (een Chaos-ransomwarevariant), Red CryptoApp, Risen en SEXi (gebaseerd op de gelekte Babuk-ransomwarecode) die zijn gespot gericht op Windows- en VMware ESXi-servers.
Ransomware-actoren maken ook gebruik van de gelekte broncode van de LockBit-ransomware om hun eigen aangepaste varianten zoals Lambda (ook bekend als Synapse), Mordor en Zgut voort te brengen, volgens rapporten van FACCT en Kaspersky.
De analyse van laatstgenoemde van de gelekte LockBit 3.0-builderbestanden heeft de “alarmerende eenvoud” onthuld waarmee aanvallers ransomware op maat kunnen maken en hun mogelijkheden kunnen uitbreiden met krachtigere functies.
Kaspersky zei dat het een op maat gemaakte versie heeft ontdekt die zich via PsExec over het netwerk kan verspreiden door misbruik te maken van gestolen beheerdersreferenties en kwaadaardige activiteiten uit te voeren, zoals het beëindigen van Microsoft Defender Antivirus en het wissen van Windows Event Logs om de gegevens te versleutelen en de sporen ervan uit te wissen. .
“Dit onderstreept de noodzaak van robuuste beveiligingsmaatregelen die dit soort bedreigingen effectief kunnen tegengaan, evenals de adoptie van een cyberbeveiligingscultuur onder werknemers”, aldus het bedrijf.