Hackers Deploy GandCrab Ransomware Through a Patched Confluence Vulnerability

澳大利亚公司Atlassian Confluence的协作软件再次出现在黑客的雷达上。尽管该公司在2019年3月20日发布了针对其主要产品中的一系列关键漏洞的补丁，看起来攻击者仍然能够利用这些漏洞中的一个来感染全球数千家公司的服务器，其中包含广泛且具有破坏性的GandCrab勒索软件 。 GandCrab出现在2018年1月，目前它的创作者仍然在地下论坛上向其他黑客组织提供，以换取一部分利润。由于最新的GandCrab 5.2版本仍然没有免费解密密钥，因此该恶意软件对消费者和企业都是一个主要威胁。

基于Java，Confluence是一种wiki类型的应用程序，它允许企业的同事拥有共享空间，以便他们可以处理常见项目和完成任务。跟踪为CVE-2019-3396的有问题的漏洞与Confluence的Widget Connector相关 - 该功能允许用户将社交媒体或其他网站中的内容嵌入到网页中。此安全漏洞允许攻击者将命令注入"_template"并随后实现未经授权的远程代码执行。这使他们能够完全控制目标主机。根据澳大利亚公司的代表，受影响的是6.6.12,6.12.3,6.13.3和6.14.2之前的Confluence Server和Confluence数据中心的所有版本。

发现的安全漏洞是导致Confluence漏洞的根本原因

网络安全公司Alert Logic刚刚发布了一份报告，根据该报告，CVE-2019-3396的概念验证漏洞利用代码于2019年4月10日公开发布，并且首次发生的破坏服务器花了大约一周的时间。第一个受影响的Confluence客户注入了恶意负载，这迫使系统与Alert Logic数据库中众所周知的IP地址进行交互。也就是说，它最初与另一个安全漏洞相关 - 一个称为CVE的Oracle Weblogic漏洞 - 2017 - 10271.这一发现使研究人员得出结论，控制IP地址的同一攻击者也对Confluence漏洞利用负责。

警报逻辑报告提供了攻击的详细视图。 Confluence服务器遭到攻击后，攻击者会部署恶意负载，然后在目标系统上下载并执行恶意PowerShell脚本。然后，该脚本从Pastebin页面下载一个特定定制版本的开源PowerShell后利用代理，称为Empire。然后，攻击者使用Empire代理将可执行文件注入正在运行的进程的内存中。进一步的研究表明，这个可执行文件名为len.exe，代表着臭名昭着的勒索软件程序GandCrab 5.2。

通过未经身份验证的远程代码执行传播GandCrab的罕见方法最初使研究人员感到困惑，因为勒索软件通常通过附加了恶意Office文档的网络钓鱼电子邮件进行分发。攻击者通常利用服务器类型软件中的漏洞来部署加密挖掘恶意软件，因为这些程序可以更好地利用此类系统的资源. 但是，在Confluence漏洞的情况下，攻击者可能已经考虑过这样一个事实：应用程序拥有可能无法充分备份的有价值的公司数据，因此勒索软件攻击的潜在收益可能会超过挖掘加密货币的利润。受感染的主机。