Ερευνητές ανακάλυψαν ότι μια ομάδα hackers εκμεταλλεύεται μια κρίσιμη ευπάθεια στο λογισμικό Confluence της Atlassian για να εγκαθιστά trojans και να μολύνει τους servers των θυμάτων με το ransomware GandCrab.
Το λογισμικό Confluence είναι μια web εφαρμογή που βασίζεται στην Java και χρησιμοποιείται από χιλιάδες εταιρείες σε όλο τον κόσμο.
Η ευπάθεια ονομάζεται CVE-2019-3396 και βρίσκεται στο “Widget Connector” του λογισμικού. Αυτό το σημείο επιτρέπει στους χρήστες να ενσωματώνουν περιεχόμενο από το YouTube, το Twitter και άλλες σελίδες.
Οι επιτιθέμενοι εκμεταλλεύονται την ευπάθεια για να εισαγάγουν κακόβουλα λογισμικά και να καταφέρουν να αποκτήσουν απομακρυσμένη πρόσβαση και εκτελέσουν κώδικα στον server. Σύμφωνα με τους ερευνητές, όλες οι εκδόσεις των Confluence Server και Confluence Data Center πριν τις 6.6.12, 6.12.3, 6.13.3 και 6.14.2, είναι ευάλωτες και άρα επιτρέπουν την εγκατάσταση του GandCrab.
Σύμφωνα με την έκθεση μιας εταιρείας ασφάλειας, το proof-of-concept exploit code για την ευπάθεια είχε κυκλοφορήσει δημοσίως στις 10 Απριλίου. Οι hackers δεν έχασαν χρόνο και το χρησιμοποίησαν αμέσως σε επιθέσεις. Οι ερευνητές είπαν ότι μέσα στην πρώτη εβδομάδα εμφανίστηκαν τα πρώτα θύματα.
Το κακόβουλο payload, που χρησιμοποιούν οι hackers στους ευάλωτους Confluence servers, κατεβάζει και εκτελεί ένα κακόβουλο PowerShell script, με στόχο την έγχυση trojans. Στην συνέχεια, αυτό το script κατεβάζει μια ειδική έκδοση ενός open-source PowerShell agent, που ονομάζεται Empire.
To Empire agent χρησιμοποιείται για την έγχυση ενός εκτελέσιμου αρχείου (len.exe) στη μνήμη μιας τρέχουσας διαδικασίας. Οι ερευνητές ανακάλυψαν ότι αυτό το αρχείο είναι το GandCrab 5.2, ένα πρόγραμμα ransomware που έχει μολύνει πολλές εταιρίες τον τελευταίο καιρό.
Στην πραγματικότητα, το GandCrab είναι ένα από τα πιο διαδεδομένα ransomware αυτή τη στιγμή. Εμφανίστηκε πρώτη φορά τον περασμένο Ιανουάριο και έχει στοχεύσει ένα μεγάλο αριθμό χρηστών και επιχειρήσεων. Οι δημιουργοί του το προσφέρουν και σε άλλες ομάδες εγκληματιών για την πραγματοποίηση επιθέσεων.
Πολλά ransomware, συμπεριλαμβανομένου του GandCrab, εξαπλώνονται, συνήθως, μέσω κακόβουλων εγγράφων του Office που περιλαμβάνονται σε phishing emails.
Η διανομή μέσω της εκμετάλλευσης ευπαθειών σε server-type λογισμικό έχει παρατηρηθεί και στο παρελθόν. Αλλά στις περισσότερες περιπτώσεις, οι hackers χρησιμοποιούν αυτή τη μέθοδο για τη διανομή cryptomining προγραμμάτων.
Προς το παρόν, δεν υπάρχει κάποιο διαθέσιμο εργαλείο για την αποκρυπτογράφηση των αρχείων που επηρεάζονται από την έκδοση 5.2 του GandCrab.
