Cado Güvenlik Laboratuarlarındaki güvenlik araştırmacıları, Cerber fidye yazılımının Linux sistemlerini hedef alan yeni bir versiyonunu ortaya çıkardı.
Kötü şöhretli kötü amaçlı yazılımın bu türünün, hedeflenen sunucularda yer edinmek için Atlassian Confluence uygulamasındaki yakın zamanda ortaya çıkan bir güvenlik açığından yararlandığı gözlemlendi.
CVE-2023-22518: Güvenlik Açığından Yararlanıldı
Bu Cerber varyantının birincil saldırı vektörü, Cado Security Labs tarafından bildirildiği üzere, Atlassian Confluence uygulamasında bir saldırganın uygulamayı sıfırlamasına ve yeni bir yönetim hesabı oluşturmasına olanak tanıyan bir güvenlik açığı olan CVE-2023-22518’in kötüye kullanılmasıdır.
Bu yılın başlarında açıklanan ve yamalanan bu kusur, Confluence sunucularını tehlikeye atmak isteyen tehdit aktörlerinin ana hedefi haline geldi.
Teknik detaylar
Cerber Linux fidye yazılımı, 64 bitlik Yürütülebilir ve Bağlanabilir Format (ELF) ikili dosyası olarak derlenen ve UPX paketleyiciyle paketlenmiş, oldukça karmaşık bir C++ yüküdür.
Bu teknik, geleneksel kötü amaçlı yazılım taramasını ve analizini önlemek için kullanılır.
Saldırgan, CVE-2023-22518 istismarı yoluyla Confluence sunucusuna erişim sağladığında, kötü amaçlı bir web kabuğu eklentisi olan Effluence’ı yüklemek ve kurmak için yeni oluşturulan yönetici hesabını kullanır.
Free Live Webinar for DIFR/SOC Teams: Securing the Top 3 SME Cyber Attack Vectors - Register Here.
Bu web kabuğu, ele geçirilen ana bilgisayarda rastgele komutların yürütülmesi için bir kullanıcı arayüzü sağlar.
Birincil Cerber verisi daha sonra web kabuğu aracılığıyla indirilir ve yürütülür.
Bu veri, ortamın ayarlanmasından ve bir günlük denetleyicisi ve son şifreleyici yükü dahil olmak üzere ek bileşenlerin getirilmesinden sorumlu bir aşamalandırıcıdır.
“agttydck” olarak bilinen günlük denetleyici verisi, bir dosyaya “başarı” mesajı yazmaya çalışan basit bir C++ programıdır.
Bu muhtemelen uygun izinlerin ve korumalı alan algılamanın kontrolüdür.
Son şifreleme verisi olan “agttydcb”, fidye yazılımının çekirdeğini oluşturuyor.
Dosya sistemindeki dosyaları sistematik olarak şifreler, şifrelenmiş verileri orijinal içeriğin üzerine yazar ve “.L0CK3D” uzantısını ekler.
Ayrıca her dizine, dosyaların şifresinin çözülmesi için ödeme talep eden bir fidye notu bırakılır.
Cerber Linux fidye yazılımı, Atlassian Confluence güvenlik açığından yararlanarak, kritik kurumsal uygulamaların güvenliğinin sağlanmasında zamanında yama uygulamanın ve dikkatli olmanın önemini vurguladı.
Tehdit aktörleri popüler yazılımlardaki güvenlik açıklarını hedeflemeye devam ettikçe kuruluşların bu tür karmaşık saldırılara karşı korunmak için güvenlik önlemlerinde proaktif kalması gerekiyor.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP