Недавний отчет о кибератаке продемонстрировал, как критическая уязвимость CVE-2023-22527 в незащищенном сервере Atlassian Confluence может привести к серьезным последствиям для безопасности данных организаций. Злоумышленники использовали данную уязвимость для реализации сложной атаки, которая началась с удаленного выполнения кода и завершилась внедрением программы-вымогателя LockBit, затронувшей масштабные системы.
Ход атаки
Вторжение началось с эксплуатации уязвимости, которая позволяла злоумышленникам, не прошедшим проверку подлинности, выполнять произвольные команды через неправильную обработку пользовательских данных. В результате, хакер:
- Собрал информацию об учетных записях пользователей и окружении с помощью команд обнаружения системы.
- Использовал утилиту mshta для загрузки программы Metasploit stager, что обеспечивало постоянный доступ к системе.
- С помощью AnyDesk установил контроль над сервером.
Кроме того, злоумышленник продемонстрировал высокую степень изощренности, осуществляя перемещение по сети с помощью протокола удаленного рабочего стола (RDP) и выполняя сценарий PowerShell для извлечения учетных данных из резервных копий Veeam.
Последствия утечки данных
После получения доступа к файлообменному серверу данные были отфильтрованы с помощью Rclone и перенаправлены в облачное хранилище MEGA.io. При этом злоумышленники очистили ключевые журналы событий Windows, что затруднило дальнейшее расследование инцидента.
Внедрение программы-вымогателя
Кульминацией атаки стало внедрение программы-вымогателя LockBit. Злоумышленники:
- Запустили программу вручную на ключевых серверах.
- Использовали PDQ Deploy для автоматизированного развертывания программы-вымогателя по всей сети.
- Включили отказоустойчивый механизм для шифрования резервных копий целей, которые были пропущены в ходе основного этапа атаки.
Все это произошло за чуть более чем два часа, что подчеркивает серьезные недостатки в управлении средствами безопасности и незамедлительного реагирования на инциденты.
Выводы и рекомендации
Данный инцидент иллюстрирует необходимость строгого контроля и управления исправлениями, эффективного контроля доступа и постоянного мониторинга систем. В условиях быстро развивающегося киберугроз, организациям следует:
- Внедрять регулярные обновления и патчи для уязвимых систем.
- Повышать уровень осведомленности сотрудников о потенциальных угрозах.
- Использовать многоуровневую аутентификацию для доступа к критически важным системам.
Только посредством комплексного подхода к безопасности можно уменьшить риски, связанные с современными методами кибератак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кибератака через CVE-2023-22527: угроза Confluence".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.