Tehdit aktörleri, Atlassian Confluence Veri Merkezi ve Confluence Sunucusu’nu etkileyen ve artık düzeltilmiş olan kritik bir güvenlik açığını aktif olarak kullanarak hassas örneklerde yasadışı kripto para madenciliği yürütüyor.
Trend Micro araştırmacısı Abdelrahman Esmail, “Saldırılar, kabuk komut dosyaları ve XMRig madencilerinin dağıtımı, SSH uç noktalarını hedefleme, rekabet eden kripto madenciliği süreçlerini öldürme ve cron işleri aracılığıyla kalıcılığı sürdürme gibi yöntemleri kullanan tehdit aktörlerini içeriyor” dedi.
İstismar edilen güvenlik açığı, Atlassian Confluence Data Center ve Confluence Server’ın eski sürümlerinde bulunan ve kimliği doğrulanmamış saldırganların uzaktan kod yürütmesine izin verebilecek maksimum öneme sahip bir hata olan CVE-2023-22527’dir. Avustralyalı yazılım şirketi tarafından Ocak 2024 ortasında giderildi.
Trend Micro, Haziran ortası ile Temmuz 2024 sonu arasında, XMRig madencisini yama uygulanmamış ana bilgisayarlara düşürmek için kullanılan çok sayıda istismar girişimi gözlemlediğini söyledi. Kötü amaçlı etkinliğin arkasında en az üç farklı tehdit aktörü olduğu söyleniyor –
- Özel olarak hazırlanmış istekler kullanılarak bir ELF dosya yükü aracılığıyla XMRig madencisini başlatma
- Rekabet eden kripto para ele geçirme kampanyalarını (örneğin Kinsing) sonlandıran, mevcut tüm cron işlerini silen, bulut güvenlik araçlarını Alibaba ve Tencent’ten kaldıran ve her beş dakikada bir komut ve kontrol (C2) sunucusu bağlantısını kontrol eden ve madenciyi başlatan yeni bir cron işi kurmadan önce sistem bilgilerini toplayan bir kabuk betiği kullanma
Esmail, “Tehdit aktörleri tarafından sürekli olarak istismar edilen CVE-2023-22527, dünya çapındaki kuruluşlar için önemli bir güvenlik riski oluşturuyor” dedi.
“Bu güvenlik açığıyla ilişkili riskleri ve tehditleri en aza indirmek için, yöneticiler Confluence Data Center ve Confluence Server sürümlerini mümkün olan en son sürümlere mümkün olan en kısa sürede güncellemelidir.”