СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.02.2025
#ИБ#Инфра#Облака

Кибератака через CVE-2023-22527: угроза Confluence

Кибератака через CVE-2023-22527: угроза Confluence

Источник: thedfirreport.com

Недавний отчет о кибератаке продемонстрировал, как критическая уязвимость CVE-2023-22527 в незащищенном сервере Atlassian Confluence может привести к серьезным последствиям для безопасности данных организаций. Злоумышленники использовали данную уязвимость для реализации сложной атаки, которая началась с удаленного выполнения кода и завершилась внедрением программы-вымогателя LockBit, затронувшей масштабные системы.

Ход атаки

Вторжение началось с эксплуатации уязвимости, которая позволяла злоумышленникам, не прошедшим проверку подлинности, выполнять произвольные команды через неправильную обработку пользовательских данных. В результате, хакер:

  • Собрал информацию об учетных записях пользователей и окружении с помощью команд обнаружения системы.
  • Использовал утилиту mshta для загрузки программы Metasploit stager, что обеспечивало постоянный доступ к системе.
  • С помощью AnyDesk установил контроль над сервером.

Кроме того, злоумышленник продемонстрировал высокую степень изощренности, осуществляя перемещение по сети с помощью протокола удаленного рабочего стола (RDP) и выполняя сценарий PowerShell для извлечения учетных данных из резервных копий Veeam.

Последствия утечки данных

После получения доступа к файлообменному серверу данные были отфильтрованы с помощью Rclone и перенаправлены в облачное хранилище MEGA.io. При этом злоумышленники очистили ключевые журналы событий Windows, что затруднило дальнейшее расследование инцидента.

Внедрение программы-вымогателя

Кульминацией атаки стало внедрение программы-вымогателя LockBit. Злоумышленники:

  • Запустили программу вручную на ключевых серверах.
  • Использовали PDQ Deploy для автоматизированного развертывания программы-вымогателя по всей сети.
  • Включили отказоустойчивый механизм для шифрования резервных копий целей, которые были пропущены в ходе основного этапа атаки.

Все это произошло за чуть более чем два часа, что подчеркивает серьезные недостатки в управлении средствами безопасности и незамедлительного реагирования на инциденты.

Выводы и рекомендации

Данный инцидент иллюстрирует необходимость строгого контроля и управления исправлениями, эффективного контроля доступа и постоянного мониторинга систем. В условиях быстро развивающегося киберугроз, организациям следует:

  • Внедрять регулярные обновления и патчи для уязвимых систем.
  • Повышать уровень осведомленности сотрудников о потенциальных угрозах.
  • Использовать многоуровневую аутентификацию для доступа к критически важным системам.

Только посредством комплексного подхода к безопасности можно уменьшить риски, связанные с современными методами кибератак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: