СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
20.05.2025
#ИБ#Инфра

Анализ атаки 2024: уязвимость Atlassian Confluence и вымогатель ELPACO-team

Анализ атаки 2024: уязвимость Atlassian Confluence и вымогатель ELPACO-team

Источник: thedfirreport.com

Кибератака на Atlassian Confluence с использованием уязвимости CVE-2023-22527: разбор инцидента июня 2024 года

В июне 2024 года был выявлен масштабный инцидент с кибератакой, использующей уязвимость CVE-2023-22527 на незащищенном сервере Atlassian Confluence. Эта уязвимость позволила злоумышленнику удаленно выполнять код, что стало отправной точкой для дальнейших сложных действий, включающих установку вредоносного ПО и проникновение в сеть с повышением привилегий.

Начальная фаза атаки: эксплуатация уязвимости и установление контроля

Первоначальный вектор атаки начал с выполнения простой команды whoami для оценки уровня привилегий веб-сервера, после чего злоумышленник использовал более сложную полезную нагрузку Metasploit (Meterpreter), переданную с помощью команды curl. Это позволило установить канал управления (C2), предоставляющий удалённый контроль над сервером.

  • Для удалённого доступа был установлен AnyDesk, что позволило злоумышленнику подключаться к серверу из автономной среды.
  • Добавлены новые пользователи с административными правами, что обеспечило постоянное присутствие в системе.
  • Активирован протокол удалённого рабочего стола (RDP), используемый в дальнейшем для перемещения и развертывания вредоносного ПО.

Повышение привилегий и методы сбора учетных данных

Критическим этапом атаки стало повышение привилегий до уровня СИСТЕМЫ. Злоумышленник применил разнообразные методы, такие как:

  • Олицетворение именованного канала (RPCSS-variant Named Pipe Impersonation).
  • Дублирование токенов доступа.
  • Сброс памяти процесса LSASS для получения NTLM-хэшей с помощью инструментов Mimikatz и ProcessHacker.

В результате был создан локальный администратор с именем noname и внедрена служба AnyDesk для гарантированного удалённого доступа.

Фаза бокового перемещения и попытки расширения доступа

Для перемещения внутри сети злоумышленник использовал скомпрометированные учетные записи доменного администратора, а также попытался использовать известные уязвимости:

  • Zerologon (CVE-2020-1472)
  • PrintNightmare (CVE-2021-34527)

Однако эти попытки не увенчались успехом. Для дальнейшего исследования сети и обнаружения целей злоумышленник задействовал инструментарий Impacket и выполнял команды для сбора информации.

Развертывание вымогателя ELPACO-team и анализ последствий

Через примерно 62 часа после начала атаки была запущена программа-вымогатель ELPACO-team — вариант известного ransomware Mimic. Атака затронула несколько серверов, включая системы резервного копирования, преимущественно используя протокол RDP для распространения вредоносного ПО.

  • Файлы на заражённых машинах были зашифрованы с добавлением расширения .ELPACO-team.
  • Утечка данных, по предварительным сведениям, была минимальной — значимой утечки сведений практически не наблюдалось.
  • Удалены события журналов безопасности для сокрытия следов атаки.
  • Обнаружен ограниченный сетевой трафик — около 70 МБ, в основном включающий изображения удалённых рабочих столов и доставку полезной нагрузки.

Основные инструменты и методы злоумышленника

Для реализации атаки использовались комплексные и продуманные методики, среди которых можно выделить:

  • AnyDesk — для обеспечения удалённого доступа и контроля.
  • Metasploit (Meterpreter) — для эксплуатации уязвимости и доставки полезной нагрузки.
  • Инструменты доступа к учетным данным — Mimikatz, ProcessHacker.
  • Средства бокового перемещения — Impacket.

Способность злоумышленника сохранять скрытность и эффективно автоматизировать операции позволила выполнять детальное исследование сети и обеспечить успешное развертывание программы-вымогателя без значительных утечек данных.

Выводы и рекомендации

Этот инцидент подчёркивает критическую важность своевременного патчирования уязвимостей, особенно в широко используемых корпоративных решениях, таких как Atlassian Confluence. Организации должны уделять повышенное внимание:

  • Регулярному обновлению программного обеспечения и проверке конфигураций безопасности.
  • Мониторингу неожиданных действий, таких как создание новых пользователей с высокими правами доступа и установка сторонних удалённых инструментов.
  • Обеспечению многофакторной аутентификации и ограничению протоколов удалённого доступа.
  • Внедрению комплексных средств защиты и реагирования на инциденты (EDR, SIEM).

В конечном итоге успешная киберзащита требует синергии технических мер и повышения осведомлённости сотрудников. Инциденты подобного рода являются напоминанием о необходимости непрерывного совершенствования процессов безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: