DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Hacker khai thác máy chủ Atlassian Confluence để triển khai backdoor Ljl
Một nhóm hacker được cho là đã khai thác một lỗ hổng trong máy chủ Atlassian Confluence để triển khai backdoor hoàn toàn mới chống lại một tổ chức giấu tên trong lĩnh vực nghiên cứu và dịch vụ kỹ thuật.
Theo công ty an ninh mạng Deepwatch, cuộc tấn công do nhóm TAC-040 thực hiện diễn ra trong những ngày cuối tháng 5.
Công ty cho biết: "Bằng chứng chỉ ra rằng hacker đã thực hiện các lệnh độc hại với tiến trình cha là tomcat9.exe trong thư mục Confluence của Atlassian. Sau khi thâm nhập hệ thống, tin tặc chạy các lệnh khác nhau để thu thập thông tin hệ thống cục bộ, mạng và môi trường Active Directory".
Lỗ hổng Atlassian bị hacker khai thác có thể là CVE-2022-26134, một lỗ hổng chèn Object-Graph Navigation Language (OGNL) có thể dẫn thực thi mã tùy ý trên Confluence Server hoặc Data Center.
Sau các báo cáo về việc khai thác tích cực trong các cuộc tấn công, vấn đề đã được Atlassian giải quyết vào ngày 4 tháng 6 năm 2022.
Do không có đầy đủ bằng chứng thuyết phục, Deepwatch cũng đưa ra giả thuyết về việc tin tặc khai thác lỗ hổng Spring4Shell (CVE-2022-22965) để có quyền truy cập ban đầu vào ứng dụng web Confluence.
Hiện tại, không có quá nhiều thông tin về nhóm TAC-040. Hoạt động của nhóm này chủ yếu liên quan đến việc gián điệp, tuy nhiên không loại trừ mục đích tài chính. Một số bằng chứng cho thấy các bộ nạp khai thác tiền điện tử XMRig trong các hệ thống bị khai thác.
Địa chỉ ví Monero của nhóm đã kiếm được ít nhất 652 XMR (106.000 đô la) bằng cách sử dụng tài nguyên máy tính của các hệ thống để khai thác bất hợp pháp tiền điện tử.
Mục đích cuối cùng của tin tặc là triển khai một backdoor có tên là Ljl trên máy chủ bị xâm nhập. Khoảng 700MB dữ liệu lưu trữ đã bị lấy cắp trước khi máy chủ được đưa vào trạng thái ngoại tuyến, theo một phân tích trong nhật ký mạng.
Ljl là một loại trojan có đầy đủ tính năng được thiết kế để thu thập các tệp và tài khoản người dùng, tải các mã độc .NET tùy ý và thu thập thông tin hệ thống cũng như vị trí địa lý của nạn nhân.
"Nạn nhân đã vô hiệu hóa việc mở rộng địa bàn tấn công của hacker bằng cách đặt máy chủ ngoại tuyến. Việc này có khả năng ngăn chặn việc xâm nhập dữ liệu nhạy cảm và hạn chế khả năng tiến hành các hoạt động độc hại khác".
Theo công ty an ninh mạng Deepwatch, cuộc tấn công do nhóm TAC-040 thực hiện diễn ra trong những ngày cuối tháng 5.
Công ty cho biết: "Bằng chứng chỉ ra rằng hacker đã thực hiện các lệnh độc hại với tiến trình cha là tomcat9.exe trong thư mục Confluence của Atlassian. Sau khi thâm nhập hệ thống, tin tặc chạy các lệnh khác nhau để thu thập thông tin hệ thống cục bộ, mạng và môi trường Active Directory".
Lỗ hổng Atlassian bị hacker khai thác có thể là CVE-2022-26134, một lỗ hổng chèn Object-Graph Navigation Language (OGNL) có thể dẫn thực thi mã tùy ý trên Confluence Server hoặc Data Center.
Sau các báo cáo về việc khai thác tích cực trong các cuộc tấn công, vấn đề đã được Atlassian giải quyết vào ngày 4 tháng 6 năm 2022.
Do không có đầy đủ bằng chứng thuyết phục, Deepwatch cũng đưa ra giả thuyết về việc tin tặc khai thác lỗ hổng Spring4Shell (CVE-2022-22965) để có quyền truy cập ban đầu vào ứng dụng web Confluence.
Hiện tại, không có quá nhiều thông tin về nhóm TAC-040. Hoạt động của nhóm này chủ yếu liên quan đến việc gián điệp, tuy nhiên không loại trừ mục đích tài chính. Một số bằng chứng cho thấy các bộ nạp khai thác tiền điện tử XMRig trong các hệ thống bị khai thác.
Địa chỉ ví Monero của nhóm đã kiếm được ít nhất 652 XMR (106.000 đô la) bằng cách sử dụng tài nguyên máy tính của các hệ thống để khai thác bất hợp pháp tiền điện tử.
Mục đích cuối cùng của tin tặc là triển khai một backdoor có tên là Ljl trên máy chủ bị xâm nhập. Khoảng 700MB dữ liệu lưu trữ đã bị lấy cắp trước khi máy chủ được đưa vào trạng thái ngoại tuyến, theo một phân tích trong nhật ký mạng.
Ljl là một loại trojan có đầy đủ tính năng được thiết kế để thu thập các tệp và tài khoản người dùng, tải các mã độc .NET tùy ý và thu thập thông tin hệ thống cũng như vị trí địa lý của nạn nhân.
"Nạn nhân đã vô hiệu hóa việc mở rộng địa bàn tấn công của hacker bằng cách đặt máy chủ ngoại tuyến. Việc này có khả năng ngăn chặn việc xâm nhập dữ liệu nhạy cảm và hạn chế khả năng tiến hành các hoạt động độc hại khác".
Theo: thehackernews
Chỉnh sửa lần cuối bởi người điều hành: