Hackers Deploy GandCrab Ransomware Through a Patched Confluence Vulnerability

澳大利亞公司Atlassian Confluence的協作軟件再次出現在黑客的雷達上。儘管該公司在2019年3月20日發布了針對其主要產品中的一系列關鍵漏洞的補丁，看起來攻擊者仍然能夠利用這些漏洞中的一個來感染全球數千家公司的服務器，其中包含廣泛且具有破壞性的GandCrab勒索軟件 。 GandCrab出現在2018年1月，目前它的創作者仍然在地下論壇上向其他黑客組織提供，以換取一部分利潤。由於最新的GandCrab 5.2版本仍然沒有免費解密密鑰，因此該惡意軟件對消費者和企業都是一個主要威脅。

基於Java，Confluence是一種wiki類型的應用程序，它允許企業的同事擁有共享空間，以便他們可以處理常見項目和完成任務。跟踪為CVE-2019-3396的有問題的漏洞與Confluence的Widget Connector相關 - 該功能允許用戶將社交媒體或其他網站中的內容嵌入到網頁中。此安全漏洞允許攻擊者將命令注入"_template"並隨後實現未經授權的遠程代碼執行。這使他們能夠完全控制目標主機。根據澳大利亞公司的代表，受影響的是6.6.12,6.12.3,6.13.3和6.14.2之前的Confluence Server和Confluence數據中心的所有版本。

發現的安全漏洞是導致Confluence漏洞的根本原因

網絡安全公司Alert Logic剛剛發布了一份報告，根據該報告，CVE-2019-3396的概念驗證漏洞利用代碼於2019年4月10日公開發布，並且首次發生的破壞服務器花了大約一周的時間。第一個受影響的Confluence客戶注入了惡意負載，這迫使系統與Alert Logic數據庫中眾所周知的IP地址進行交互。也就是說，它最初與另一個安全漏洞相關 - 一個稱為CVE的Oracle Weblogic漏洞 - 2017 - 10271.這一發現使研究人員得出結論，控制IP地址的同一攻擊者也對Confluence漏洞利用負責。

警報邏輯報告提供了攻擊的詳細視圖。 Confluence服務器遭到攻擊後，攻擊者會部署惡意負載，然後在目標系統上下載並執行惡意PowerShell腳本。然後，該腳本從Pastebin頁面下載一個特定定製版本的開源PowerShell後利用代理，稱為Empire。然後，攻擊者使用Empire代理將可執行文件注入正在運行的進程的內存中。進一步的研究表明，這個可執行文件名為len.exe，代表著臭名昭著的勒索軟件程序GandCrab 5.2。

通過未經身份驗證的遠程代碼執行傳播GandCrab的罕見方法最初使研究人員感到困惑，因為勒索軟件通常通過附加了惡意Office文檔的網絡釣魚電子郵件進行分發。攻擊者通常利用服務器類型軟件中的漏洞來部署加密挖掘惡意軟件，因為這些程序可以更好地利用此類系統的資源. 但是，在Confluence漏洞的情況下，攻擊者可能已經考慮過這樣一個事實：應用程序擁有可能無法充分備份的有價值的公司數據，因此勒索軟件攻擊的潛在收益可能會超過挖掘加密貨幣的利潤。受感染的主機。