脅威アクターはAtlassianサーバーの重大な脆弱性を悪用し、Linuxの亜種を展開しています。 Cerberランサムウェア.
この搾取, を中心に CVE-2023-22518 脆弱性, Atlassian Confluence Data CenterとServerに重大な脆弱性が発見されました, 悪意のある人物がConfluenceをリセットし、罰を受けることなく管理者アカウントを作成できるようにする.
脆弱性, CVSSスコアで評価 9.1, 攻撃者に侵害されたシステムへの自由なアクセスを提供する. 新たに得た管理者権限で, サイバー犯罪者がEffluenceウェブシェルプラグインを利用して任意のコマンドを実行することが確認されている。, 最終的にCerberランサムウェアの展開につながった.
ネイト・ビル, Cadoの脅威情報エンジニア, 最近の 報告. 彼は、攻撃者がウェブシェルを使ってCerberをダウンロードして実行する方法について強調した。, 「confluence」の下にあるファイルを暗号化する’ ユーザーの所有権. ユーザー権限によるデータアクセスの制限にもかかわらず, このランサムウェアは、アトラシアンのConfluenceに依存している組織にとって大きな脅威となります。.
Cerber の展開の説明
この攻撃の特徴はCerberの展開戦略である。. C++で記述, ランサムウェアは、高度なローダーを使用して、コマンドアンドコントロールサーバーから追加のC++ベースのマルウェアを取得します。, 感染したホスト上の自身の痕跡を消去する前に. 悪意のあるペイロードはルートディレクトリ全体でファイルを無差別に暗号化します, '.L0CK3D'を追加する’ 拡張子を変更し、影響を受けた各ディレクトリに身代金メモを残す.
興味深いことに, このキャンペーンは、GolangやRustなどのクロスプラットフォーム言語が好まれる傾向の中で、純粋なC++ペイロードへの回帰を示している。. セルバーは新しいものではないが, アトラシアンの脆弱性との統合は、既存のランサムウェア株が高価値ターゲットを悪用するために適応する、進化する脅威環境を示しています。.
ビルは、Cerberの能力にもかかわらず、, 強力なデータバックアップの実践によってその影響は軽減される可能性がある. 適切に構成されたシステムでは, ランサムウェアの影響は抑えられる可能性がある, 被害者が身代金を支払う動機を減らす. でも, より広い文脈で見ると、ランサムウェアの進化の傾向が懸念される。, Evil Antのような新しい亜種, ハローファイア, WindowsおよびVMware ESXiサーバーをターゲットとするその他のもの.
ランサムウェアの特注亜種が続々登場
さらに, LockBitのようなランサムウェアのソースコードの漏洩により、脅威アクターはLambdaのような特注の亜種を作成できるようになりました。, モルドール, とズグト, すでに深刻なサイバーセキュリティの状況にさらなる複雑さが加わる. 流出したLockBitに関するカスペルスキーの分析 3.0 ビルダーファイルは、ネットワーク全体に拡散し、洗練された回避戦術を備えたカスタマイズされたランサムウェアを作成するのが驚くほど簡単であることが明らかになりました。.
また、これはランサムウェアの運営者による最初の事例ではないことも注目に値する。 CVE-2023-22518を悪用 アトラシアンの脆弱性.