Kiberjinoyatchilar Atlassian Confluence Server’dagi zaiflik orqali serverlarni buzib kirishmoqda.
Hujumchilar buzilgan serverlarga GandCrab ransomware va Dofloo troyanini o’rnatadilar.
Atlassian Confluence Server’dagi muhim zaiflik kiberjinoyatchilar tomonidan Linux va Windows serverlarini masofadan turib buzib kirish uchun faol ravishda foydalanilmoqda. Hujumchilar buzilgan serverlarga GandCrab ransomware va Dofloo troyanini (shuningdek, AES.DDoS va Mr. Black nomi bilan ham tanilgan) o‘rnatadilar. Zaiflik Widget Connector’dagi (CVE-2019-3396) shablonni kiritish zaifligi bo‘lib, u masofadan turib hujum qiluvchiga kataloglarni aylanib chiqish va Confluence Server yoki Data Center o‘rnatishlarida o‘zboshimchalik bilan kodni bajarish imkonini beradi.
Trend Micro kompaniyasining xavfsizlik bo’yicha tadqiqotchisi Augusto II Remillanoning so’zlariga ko’ra, sotuvchi joriy yilning 20 martida zaiflik uchun yamoq chiqardi va foydalanuvchilarga uni o’rnatishni qat’iy tavsiya qildi.
Hozirda ushbu zaiflik uchun bir nechta ekspluatatsiyalar mavjud. Birinchisi 10-aprelda paydo bo’ldi va kiberjinoyatchilar uni darhol o’z arsenallariga qo’shdilar. Ommaviy skanerlash boshlandi, ularda zaif Confluence Server va Data Center o’rnatmalarini GandCrab ransomware bilan yuqtirish maqsadida qidirildi.
Serverni buzib kirgan tajovuzkorlar oʻzlari boshqaradigan mashinadan Empire PowerShell asboblar toʻplamini yuklab olishadi va undan GandCrabning arxivlangan versiyasini yuklab olish uchun foydalanadilar. Alert Logic maʼlumotlariga koʻra, CertUtil LOLBin aniqlashdan qochish uchun ishlatiladi.
Hujumchilar, shuningdek, Dofloo zararli dasturini o’rnatish uchun CVE-2019-3396 zaifligidan foydalanadilar. Ushbu zararli dastur ko’p sonli buzilgan serverlarni DDoS hujumlari (SYN, LSYN, UDP, UDPS va TCP suv toshqinlaridan foydalangan holda) va kriptovalyuta qazib olish uchun botnetlarga birlashtirish imkonini beradi.
