بهره‌برداری مهاجمان از آسیب‌پذیری موجود در سرور Atlassian Confluence، برای گسترش بدافزارهای GandCrab و AESDDos

بهره‌برداری مهاجمان از آسیب‌پذیری موجود در سرور Atlassian Confluence، برای گسترش بدافزارهای GandCrab و AESDDos

با توجه به گزارشات Trend Micro و Alert Logic، آسیب‌پذیری بحرانی به تازگی کشف شده با شناسه CVE-2019-3396 در سرور Atlassian Confluence، به صورت فعالانه برای دسترسی به سرورهای لینوکسی و ویندوزی مورد بهره‌برداری قرار گرفته است و هدف از بهره‌برداری از این آسیب‌پذیری، آلوده کردن سرورها به انواع مختلف بدافزار مثل تروجان بات‎‌نتی AESDDoS و باج‌افزار GandCrab است. آسیب‌پذیری با شناسه CVE-2019-3396، یک آسیب‌پذیری تزریق الگوی سمت سرور است که در ماکرو اتصال ویجت در سرور Atlassian Confluence قرار دارد و یک نرم‌افزار اشتراکی است که توسط متخصصان DevOps استفاده می شود. این نقص به مهاجمان اجازه دسترسی از راه دور به مسیر گذرگاه و اجرای کد از راه دور در سرور Confluence یا مرکز داده‌ای را از طریق تزریق سمت سرور می‌دهد. این باگ در نسخه‌های Confluence از6.6.0 تا 6.6.11 و 6.7.0 تا 6.12.2 و 6.13.0 تا 6.13.2 و 6.14.0 تا 6.14.1 موجود است و در نسخه‌های 6.6.12، 6.12.3، 6.13.3 و 6.14.2 رفع شده است. چندین اکسپلویت از آسیب‌پذیری CVE-2019-3396 در حال حاضر در دسترس عموم است و مهاجمان به طور فعالانه از این اکسپلویت‌ها برای اسکن‌ کردن اینترنت و پیدا کردن سرورهای آسیب‌پذیر و نصب نرم‌افزارهای مخرب روی دستگاه‌های آسیب‌پذیر استفاده می‌کنند. در حملات شناسایی شده توسط Trend Micro، مهاجمان در تلاش برای نصب تروجان Dofloo معروف به AES.DDoS بوده‌اند که قادر به انجام حملات اجرای کد از راه دور و استخراج ارز مجازی و همچنین حملات منع سرویس، از جمله روی SYN، LSYN، UDP، UDPS و TCP می‌باشد. این حمله شامل اجرای از راه دور یک فرمان shell برای دانلود و اجرای اسکریپت shell مخربی به نام Trojan.SH.LODEX.J است که اسکریپت shell دیگری به نام Trojan.SH.DOGOLOAD.J را دانلود می‌کند که در نهایت بات‌نت AESDDoS را روی سیستم آسیب‌پذیر نصب می‌کند. این بات‌نت می‌تواند اطلاعات مربوط به سیستم‌های آسیب‌پذیر را مانند شناسه مدل، پردازنده، سرعت، خانواده، مدل و نوع آن را سرقت کند. داده‌های جمع‌آوری شده شامل داده‌های C&C هم می‌شود که با استفاده از الگوریتم AES رمزنگاری می‌شوند. علاوه بر این، بدافزار AESDDoS می‌تواند فایل‌ها را با یک روش خودکارسازی با اضافه کردن دستور راه اندازی مجدد {malware path}/{malware file name} تغییر دهد. طبق گزارشات Alert Logic، مهاجمان از آسیب‌پذیری CVE-2019-3396، برای آلوده کردن دستگاه‌های آسیب‌پذیر به باج‌افزار GandCrab هم استفاده می‌کنند. به محض دسترسی به سرور آسیب‌پذیر، مهاجمان ابزار قدرتمند قبل از بهره‌برداری Empire PowerShell را دانلود می‌کنند و سپس از آن برای دانلود نسخه بسته‌ای باج‌افزار GandCrab با کمک CertUtil LOLBin استفاده می‌کنند. CertUtil LOLBin باینری‌های استانداردی است که مهاجمان اغلب برای جلوگیری از شناسایی شدن از آن استفاده می‌کنند.