Tehdit aktörleri, Cerber’in Linux versiyonunu (aka C3RB3R) fidye yazılımına dağıtmak için yama yapılmamış Atlassian sunucularından yararlanıyor.
Saldırılar, Atlassian Confluence Veri Merkezini ve Sunucusunu etkileyen, kimliği doğrulanmamış bir saldırganın Confluence’ı sıfırlamasına ve bir yönetici hesabı oluşturmasına olanak tanıyan kritik bir güvenlik açığı olan CVE-2023-22518’den (CVSS puanı: 9,1) yararlanıyor.
Bu erişime sahip bir tehdit aktörü, etkilenen sistemleri ele geçirebilir ve bu da gizliliğin, bütünlüğün ve kullanılabilirliğin tamamen kaybolmasına yol açabilir.
Bulut güvenlik firması Cado’ya göre, finansal motivasyona sahip siber suç gruplarının, Effluence web kabuğu eklentisini yüklemek ve ana makinede rastgele komutların yürütülmesine izin vermek için yeni oluşturulan yönetici hesabını kötüye kullandığı gözlemlendi.
Cado tehdit istihbarat mühendisi Nate Bill, The Hacker News ile paylaşılan bir raporda “Saldırgan bu web kabuğunu birincil Cerber yükünü indirmek ve çalıştırmak için kullanıyor” dedi.
“Varsayılan kurulumda Confluence uygulaması, düşük ayrıcalıklı bir kullanıcı olan ‘confluence’ kullanıcısı olarak yürütülür. Bu nedenle, fidye yazılımının şifreleyebildiği veriler, confluence kullanıcısının sahip olduğu dosyalarla sınırlıdır.”
CVE-2023-22518’in Cerber fidye yazılımını dağıtmak için kullanıldığı daha önce Kasım 2023’te Rapid7 tarafından vurgulanmıştı.
C++ ile yazılan birincil veri, ek C++ tabanlı kötü amaçlı yazılımlar için bunları bir komut ve kontrol (C2) sunucusundan alarak ve ardından kendi varlığını virüslü ana bilgisayardan silerek bir yükleyici görevi görür.
Daha sonra birincil veri tarafından başlatılan şifreleyiciyi (“agttydcb.bat”) indirmek için yürütülen “agttydck.bat” dosyasını içerir.
Agttydck’in, kötü amaçlı yazılım için bir izin denetleyiciye benzer şekilde çalıştığından ve /tmp/ck.log dosyasına yazma yeteneğini değerlendirdiğinden şüpheleniliyor. Bu kontrolün kesin amacı belirsizdir.
Şifreleyici ise kök dizini geçerek tüm içeriği .L0CK3D uzantısıyla şifreler. Ayrıca her dizine bir fidye notu bırakır. Ancak notta aksi iddia edilmesine rağmen herhangi bir veri sızıntısı söz konusu değildir.
Saldırıların en ilginç yönü, Golang ve Rust gibi platformlar arası programlama dillerine geçiş göz önüne alındığında nadir görülen saf C++ veri yüklerinin kullanılmasıdır.
Bill, “Cerber, yaşlanmasına rağmen nispeten karmaşık bir fidye yazılımı yüküdür” dedi. “Confluence güvenlik açığının kullanılması, büyük miktarda olası yüksek değerli sistemlerin tehlikeye atılmasına izin verse de, genellikle şifreleyebildiği veriler yalnızca birleşim verileriyle sınırlı olacak ve iyi yapılandırılmış sistemlerde bu yedeklenecektir.”
Araştırmacı, “Bu, fidye yazılımının kurbanlardan para çekmedeki etkinliğini büyük ölçüde sınırlıyor çünkü ödeme yapma teşviki çok daha az” diye ekledi.
Gelişme, Evil Ant, HelloFire, L00KUPRU (Xorist fidye yazılımının bir çeşidi), Muliaka (sızdırılan Conti fidye yazılımı koduna dayalı), Napoli (Chaos fidye yazılımının bir çeşidi), Red CryptoApp, Risen ve gibi yeni fidye yazılımı ailelerinin ortaya çıktığı bir dönemde gerçekleşti. SEKS (sızdırılan Babuk fidye yazılımı koduna dayanarak) Windows ve VMware ESXi sunucularını hedef aldığı tespit edildi.
FACCT ve Kaspersky’nin raporlarına göre fidye yazılımı aktörleri, Lambda (diğer adıyla Synapse), Mordor ve Zgut gibi kendi özel varyantlarını oluşturmak için sızdırılan LockBit fidye yazılımı kaynak kodundan da yararlanıyor.
İkincisinin sızdırılan LockBit 3.0 oluşturucu dosyaları üzerinde yaptığı analiz, saldırganların özel fidye yazılımı oluşturabilecekleri ve yeteneklerini daha güçlü özelliklerle artırabilecekleri “endişe verici basitliği” ortaya çıkardı.
Kaspersky, verileri şifrelemek ve izlerini gizlemek için çalınan yönetici kimlik bilgilerinden yararlanarak ve Microsoft Defender Antivirus’ü sonlandırmak ve Windows Olay Günlüklerini silmek gibi kötü amaçlı faaliyetler gerçekleştirerek PsExec aracılığıyla ağ geneline yayılma yeteneğine sahip özel bir sürümü ortaya çıkardığını söyledi. .
Şirket, “Bu, bu tür tehditleri etkili bir şekilde azaltabilecek sağlam güvenlik önlemlerine ve çalışanlar arasında bir siber güvenlik kültürünün benimsenmesine duyulan ihtiyacın altını çiziyor” dedi.