Resumen: Un fallo de seguridad en los servidores de Atlassian Confluence fue explotado por los ciberdelincuentes para desplegar una puerta trasera nunca antes vista.
El ataque fue atribuido al grupo de amenazas TAC-040 y se ejecutó con la ayuda de un proceso tomcat9.exe en el directorio Confluence de Atlassian.
Los actores de la amenaza aprovecharon un fallo de inyección de Object-Graph Navigation Language (OGNL) (CVE-2022-26134) que permite la ejecución arbitraria de código.
Una vez comprometido el sistema, los atacantes desplegaron varios comandos para enumerar el sistema local, la red y el entorno comprometido.
Posteriormente, desplegaban un malware nunca antes visto conocido como Ljl Backdoor.
El malware, es un virus troyano capaz de recopilar datos y cuentas, cargar cargas útiles .NET arbitrarias y robar información del sistema, así como la ubicación geográfica de la víctima.
Se estima que durante un ataque fueron exfiltrados alrededor de 700 MB de datos archivados.
De acuerdo con los investigadores que analizaron el problema, la operación parece tratarse de una campaña de ciberespionaje.
Las víctimas evitaron que los atacantes se movieran lateralmente dentro del entorno vulnerado al desconectar el servidor, impidiendo así una posible exfiltración de datos.
Por el momento, se le insta a todos los administradores a mantener las mejores prácticas de ciberseguridad y a proteger sus servidores contra cualquier ataque de malware. Recomendaciones: Medidas para prevenir la descarga de malware Mantener sus dispositivos actualizados y parcheados Activar la autenticación de dos factores Evitar descargar archivos sospechosos No abrir enlaces desconocidos Referencias: https://thehackernews.com/2022/08/hackers-exploited-atlassian-confluence.html
|
SÍGUENOS