Kritik bir Atlassian Confluence kırılganlığından (CVE-2023-22527, CVSS 10.0) yararlanan sofistike bir fidye yazılımı saldırısı, ilk uzlaşmadan iki saat içinde Lockbit Black fidye yazılımlarının işletme ağları arasında dağıtımıyla sonuçlandı.
Saldırganlar, kimlik bilgisi hırsızlığı, RDP yoluyla yanal hareket ve PDQ dağıtım gibi meşru araçlar kullanarak otomatik fidye yazılımı dağıtımını içeren çok aşamalı bir saldırı düzenlediler.
.webp)
İhlal, kimlik doğrulanmamış uzaktan kod yürütülmesine (RCE) izin veren bir sunucu tarafı şablonu enjeksiyon kusuru olan CVE-2023-22527’nin kullanımı ile başladı.
.webp)
Saldırganlar, HTTP Post istekleri aracılığıyla kötü amaçlı nesne-graf navigasyon dili (OGNL) ifadeleri enjekte etti /template/aui/text-inline.vmkomut yürütmeyi etkinleştirme NETWORK SERVICE hesap.
DFIR raporundaki siber güvenlik analistleri, ilk keşif komutlarının net user Ve whoami tarafından kanıtlandığı gibi bir Python betiği aracılığıyla yürütüldü python-requests/2.25 Sunucu günlüklerinde kullanıcı ajanı.
POST /template/aui/text-inline.vm HTTP/1.1
User-Agent: python-requests/2.25
...
Content: ...freemarker.template.utility.Execute().exec({"whoami"}) Kötü niyetli bir HTA dosyası aracılığıyla bir metre -preter oturumu oluşturduktan sonra, saldırganlar kalıcı erişim için Anydesk’e döndü.
Savunmacıyı devre dışı bırakmak için Windows Start menüsüne “virüs” yazarak savunmaları devre dışı bıraktılar ve PowerShell’i kullanarak günlükleri temizledi:-
wevtutil el | ForEach-Object { wevtutil cl "$_" } Hackerlar, Mimikatz ve Rclone gibi araçları silmek için sildi:-
C:\temp\mimikatz\x64\mimikatz.exe
C:\temp\rclone\rclone.exe .webp)
Etki ve Fidye Yazılımı Dağıtım
Lockbit, bir toplu komut dosyası yürütmek için meşru bir BT aracı olan PDQ Deploy kullanılarak dağıtıldı (asd.bat) ağa bağlı cihazlar arasında. Komut dosyası, fidye yazılımı şifrelemesini tetikledi, .rhddiicoE Dosyalara uzatma ve Lockbit’in imza görüntüleri ile masaüstü duvar kağıtlarını değiştirme.
@echo off
start cmd /k "C:\temp\LBB.exe -path \\TARGET\C$\" .webp)
Veri eksfiltrasyonu, 1.5+ GB’nin RCLone aracılığıyla mega.io’ya aktarılmasıyla şifrelemeden önce geldi. Rus IPS ve Flyservers SA ile bağlantılı tehdit aktörlerinin altyapısı, daha önce Lockbit bağlı kuruluşlarıyla ilişkili taktikleri yansıtıyor.
Bu olay, Confluence sunucularını yamaya ve uzaktan erişim araçlarını denetleme konusundaki kritik ihtiyacı göstermektedir.
Saldırganların fidye yazılımı dağıtımına ilk erişimden hızlı ilerlemesi, gerçek zamanlı uç nokta izleme ve kimlik bilgisi hijyeninin önemini göstermektedir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response and Threat Hunting – Register Here