Ein Bedrohungsakteur soll „höchstwahrscheinlich“ eine Sicherheitslücke in einem veralteten Atlassian Confluence-Server ausgenutzt haben, um eine noch nie dagewesene Backdoor gegen eine ungenannte Organisation im Bereich Forschung und technische Dienstleistungen einzusetzen.
Der Angriff, der sich über einen Zeitraum von sieben Tagen Ende Mai ereignete, wird einer Gruppe von Bedrohungsaktivitäten zugeschrieben, die von der Cybersecurity-Firma Deepwatch als TAC-040 bezeichnet wird.
„Die Beweise deuten darauf hin, dass der Bedrohungsakteur bösartige Befehle mit dem übergeordneten Prozess tomcat9.exe im Confluence-Verzeichnis von Atlassian ausgeführt hat“, so das Unternehmen. „Nach der anfänglichen Kompromittierung führte der Bedrohungsakteur verschiedene Befehle aus, um das lokale System, das Netzwerk und die Active Directory-Umgebung aufzuzählen.
Bei der mutmaßlich ausgenutzten Atlassian-Schwachstelle handelt es sich um CVE-2022-26134, einen Object-Graph Navigation Language (OGNL)-Injektionsfehler, der den Weg für die Ausführung von beliebigem Code auf einer Confluence Server- oder Data Center-Instanz ebnet.
Nach Berichten über aktive Ausnutzung in realen Angriffen wurde die Schwachstelle am 4. Juni 2022 von dem australischen Unternehmen behoben.
Angesichts des Fehlens forensischer Artefakte vermutete Deepwatch, dass der Einbruch alternativ auch durch die Ausnutzung der Spring4Shell-Schwachstelle (CVE-2022-22965) erfolgt sein könnte, um einen ersten Zugang zur Confluence-Webanwendung zu erhalten.
Über TAC-040 ist nicht viel bekannt, außer der Tatsache, dass die Ziele des Angreiferkollektivs mit Spionage zu tun haben könnten, obwohl die Möglichkeit, dass die Gruppe aus finanziellen Gründen gehandelt haben könnte, nicht ausgeschlossen wurde, da ein Lader für einen XMRig-Krypto-Miner auf dem System vorhanden war.
Es gibt zwar keine Beweise dafür, dass der Miner bei diesem Vorfall ausgeführt wurde, aber die Monero-Adresse, die den Bedrohungsakteuren gehört, hat mindestens 652 XMR (106.000 US-Dollar) eingebracht, indem sie die Rechenressourcen anderer Systeme entführt hat, um illegal Kryptowährung zu schürfen.
Die Angriffskette zeichnet sich auch durch den Einsatz eines bisher nicht dokumentierten Implantats namens Ljl Backdoor auf dem angegriffenen Server aus. Laut einer Analyse der Netzwerkprotokolle wurden schätzungsweise 700 MB an archivierten Daten exfiltriert, bevor der Server vom Opfer offline genommen wurde.
Bei der Malware handelt es sich um einen Trojaner mit vollem Funktionsumfang, der Dateien und Benutzerkonten sammelt, beliebige .NET-Nutzlasten lädt und Systeminformationen sowie den geografischen Standort des Opfers sammelt.
„Das Opfer verweigerte dem Bedrohungsakteur die Möglichkeit, sich innerhalb der Umgebung zu bewegen, indem es den Server offline schaltete, was möglicherweise die Exfiltration weiterer sensibler Daten verhinderte und die Fähigkeit des Bedrohungsakteurs einschränkte, weitere bösartige Aktivitäten durchzuführen.“
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Nutzer tappen immer noch im Dunkeln über den 5-Millionen-Dollar-Diebstahl beim Blockchain-Unternehmen Solana