Hackers Deploy GandCrab Ransomware Through a Patched Confluence Vulnerability

オーストラリアの会社であるAtlassian Confluenceのコラボレーションソフトウェアもまたハッカーのレーダーに使われています。 2019年3月20日、同社は主要製品の一連の重大な脆弱性に対するパッチをリリースしましたが、攻撃者は依然としてこれらのバグの1つを悪用して、広範囲にわたる壊滅的なGandCrabで世界中の何千もの企業のサーバーに感染させることができます。 ランサムウェア GandCrabは2018年1月に登場し、現在も利益の一部と引き換えにアンダーグラウンドフォーラムで他のハッキンググループにそのクリエイターによって提供されています。最新のGandCrab 5.2バージョン用の無料の復号化キーはまだないので、このマルウェアは消費者と企業の両方にとって大きな脅威です。

JavaをベースとしたConfluenceは、企業の同僚が共通のプロジェクトや完全なタスクをこなせる共有スペースを持つことを可能にするウィキタイプのアプリケーションです。 CVE-2019-3336として追跡されている問題の脆弱性はConfluenceのWidget Connectorに関連しています - それはユーザーがソーシャルメディアまたは他のウェブサイトからのコンテンツをウェブページに埋め込むことを可能にする機能です。このセキュリティ上の欠陥により、攻撃者は「_template」にコマンドを挿入し、その後、不正なリモートコード実行を可能にします。これにより、ターゲットホストを完全に制御することができます。オーストラリアの代表によると、影響を受けるのは、6.6.12、6.12.3、6.13.3、および6.14.2より前のConfluenceサーバーおよびConfluenceデータセンターのすべてのバージョンです。

Confluenceの脆弱性の根本的な原因として発見されたセキュリティ上の欠陥の発見

サイバーセキュリティ会社のアラートロジックは、2019年4月10日にCVEの概念実証用エクスプロイトコードが公開されたという報告を発表しました。2019年 - 3396年、最初の違反サーバーが発生するまでに約1週間かかりました。影響を受けるConfluenceの最初の顧客は、アラートロジックデータベース内でよく知られているIPアドレスとシステムがやり取りすることを強制する悪意のあるペイロードを注入されました。つまり、当初は別のセキュリティ上の欠陥（CVE-2017-10271と呼ばれるOracle Weblogicの脆弱性）が関連していました。この調査結果から、IPアドレスを制御する同じ攻撃者がConfluenceの脆弱性の悪用にも関与しているとの結論に至りました。

アラートロジックレポートは攻撃の詳細なビューを提供します。 Confluenceサーバーが危険にさらされた後、攻撃者は悪意のあるペイロードを展開し、それが悪意のあるPowerShellスクリプトを標的のシステムにダウンロードして実行します。次に、そのスクリプトは、Pastebinページから、Empireと呼ばれるオープンソースのPowerShell悪用防止エージェントの特別に調整されたバージョンをダウンロードします。その後、攻撃者はEmpireエージェントを使用して、実行中のプロセスのメモリに実行可能ファイルを挿入します。詳しい調査の結果、この実行ファイルはlen.exeと呼ばれ、悪名高いランサムウェアプログラムGandCrab 5.2を表していることがわかりました。

ランサムウェアは通常悪意のあるOffice文書が添付されたフィッシングメールを介して配布されるため、GandCrabを認証されていないリモートでコードが実行されるように広めるという珍しい方法は、最初は研究者を困惑させました。攻撃者は、通常、サーバー型ソフトウェアの脆弱性を悪用して、暗号マイニングマルウェアを展開します。これらのプログラムは、そのようなシステムのリソースの有効利用を確保するためです。. Confluenceの脆弱性の場合、攻撃者はおそらくアプリケーションが十分にバックアップされていないかもしれない貴重な企業データを保持しているという事実を考慮しています感染したホスト