Кибератака на Atlassian Confluence с использованием уязвимости CVE-2023-22527: разбор инцидента июня 2024 года
В июне 2024 года был выявлен масштабный инцидент с кибератакой, использующей уязвимость CVE-2023-22527 на незащищенном сервере Atlassian Confluence. Эта уязвимость позволила злоумышленнику удаленно выполнять код, что стало отправной точкой для дальнейших сложных действий, включающих установку вредоносного ПО и проникновение в сеть с повышением привилегий.
Начальная фаза атаки: эксплуатация уязвимости и установление контроля
Первоначальный вектор атаки начал с выполнения простой команды whoami для оценки уровня привилегий веб-сервера, после чего злоумышленник использовал более сложную полезную нагрузку Metasploit (Meterpreter), переданную с помощью команды curl. Это позволило установить канал управления (C2), предоставляющий удалённый контроль над сервером.
- Для удалённого доступа был установлен AnyDesk, что позволило злоумышленнику подключаться к серверу из автономной среды.
- Добавлены новые пользователи с административными правами, что обеспечило постоянное присутствие в системе.
- Активирован протокол удалённого рабочего стола (RDP), используемый в дальнейшем для перемещения и развертывания вредоносного ПО.
Повышение привилегий и методы сбора учетных данных
Критическим этапом атаки стало повышение привилегий до уровня СИСТЕМЫ. Злоумышленник применил разнообразные методы, такие как:
- Олицетворение именованного канала (RPCSS-variant Named Pipe Impersonation).
- Дублирование токенов доступа.
- Сброс памяти процесса LSASS для получения NTLM-хэшей с помощью инструментов Mimikatz и ProcessHacker.
В результате был создан локальный администратор с именем noname и внедрена служба AnyDesk для гарантированного удалённого доступа.
Фаза бокового перемещения и попытки расширения доступа
Для перемещения внутри сети злоумышленник использовал скомпрометированные учетные записи доменного администратора, а также попытался использовать известные уязвимости:
- Zerologon (CVE-2020-1472)
- PrintNightmare (CVE-2021-34527)
Однако эти попытки не увенчались успехом. Для дальнейшего исследования сети и обнаружения целей злоумышленник задействовал инструментарий Impacket и выполнял команды для сбора информации.
Развертывание вымогателя ELPACO-team и анализ последствий
Через примерно 62 часа после начала атаки была запущена программа-вымогатель ELPACO-team — вариант известного ransomware Mimic. Атака затронула несколько серверов, включая системы резервного копирования, преимущественно используя протокол RDP для распространения вредоносного ПО.
- Файлы на заражённых машинах были зашифрованы с добавлением расширения .ELPACO-team.
- Утечка данных, по предварительным сведениям, была минимальной — значимой утечки сведений практически не наблюдалось.
- Удалены события журналов безопасности для сокрытия следов атаки.
- Обнаружен ограниченный сетевой трафик — около 70 МБ, в основном включающий изображения удалённых рабочих столов и доставку полезной нагрузки.
Основные инструменты и методы злоумышленника
Для реализации атаки использовались комплексные и продуманные методики, среди которых можно выделить:
- AnyDesk — для обеспечения удалённого доступа и контроля.
- Metasploit (Meterpreter) — для эксплуатации уязвимости и доставки полезной нагрузки.
- Инструменты доступа к учетным данным — Mimikatz, ProcessHacker.
- Средства бокового перемещения — Impacket.
Способность злоумышленника сохранять скрытность и эффективно автоматизировать операции позволила выполнять детальное исследование сети и обеспечить успешное развертывание программы-вымогателя без значительных утечек данных.
Выводы и рекомендации
Этот инцидент подчёркивает критическую важность своевременного патчирования уязвимостей, особенно в широко используемых корпоративных решениях, таких как Atlassian Confluence. Организации должны уделять повышенное внимание:
- Регулярному обновлению программного обеспечения и проверке конфигураций безопасности.
- Мониторингу неожиданных действий, таких как создание новых пользователей с высокими правами доступа и установка сторонних удалённых инструментов.
- Обеспечению многофакторной аутентификации и ограничению протоколов удалённого доступа.
- Внедрению комплексных средств защиты и реагирования на инциденты (EDR, SIEM).
В конечном итоге успешная киберзащита требует синергии технических мер и повышения осведомлённости сотрудников. Инциденты подобного рода являются напоминанием о необходимости непрерывного совершенствования процессов безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ атаки 2024: уязвимость Atlassian Confluence и вымогатель ELPACO-team".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
