Lỗ hổng nghiêm trọng trên Atlassian bị khai thác để phát tán mã độc Ransomware Cerber

- Các nhóm tấn công đang khai thác máy chủ Atlassian không đủ bảo mật để triển khai biến thể Linux của mã độc Ransomware Cerber (C3RB3R).

Việc khai thác lỗ hổng CVE-2023-22518 (điểm CVSS: 9.1) có mức độ ảnh hưởng nghiêm trọng trên “Atlassian Confluence Data Center and Server”. Lỗ hổng này cho phép đối tượng tấn công đặt lại cấu hình Confluence và tạo tài khoản quản trị. Kết quả là, đối tượng tấn công chiếm quyền kiểm soát hệ thống bị lây nhiễm, gây ảnh hưởng tới tính bí mật, toàn vẹn và sẵn có của dịch vụ.

Đã có thông tin cho biết rằng các nhóm tấn công có động cơ tài chính đã khai thác lỗ hổng này để cài đặt plugin webshell Effulence. Plugin này cho phép thực thi câu lệnh tùy ý và tải xuống payload Cerber. Do ứng dụng Confluence mặc định thực thi dưới tài khoản “confluence” (có quyền hạn thấp) nên đối tượng chỉ có thể mã hóa các file sở hữu bởi tài khoản này.

Việc khai thác lỗ hổng CVE-2023-22518 để phát tán mã độc Cerber đã được cảnh báo từ tháng 11/2023. Payload chính của mã độc sử dụng ngôn ngữ C++ làm loader cho các mã độc C++ bổ trợ, sau đó tự xóa khỏi thiết bị. Payload cũng bao gồm “agttydck.bat”, được thực thi để tải xuống bộ mã hóa cùng tên. Hàm agttydck có chức năng kiểm tra quyền hạn cho mã độc trước khi ghi vào file /tmp/ck.log.

Mã độc này sử dụng payload viết bằng C++ để rà soát thư mục gốc và mã hóa dữ liệu thành định dạng .LOCK3D. Đồng thời, nó tạo một note trên mỗi thư mục bị mã hóa. Điều đặc biệt là trong chiến dịch này, phần lớn mã độc đã chuyển sang sử dụng ngôn ngữ lập trình đa nền tảng như Golang và Rust, nhưng mã độc này vẫn duy trì việc sử dụng C++.

Trong bối cảnh này, các chủng mã độc ransomware như Evil Ant, HelloFire, L00KUPRU, Muliaka, Napoli, Red CryptoApp, Risen, và SEXi đã được phát hiện trên máy chủ Windows và VMware ESXi.

Ngoài ra, các nhóm tấn công Ransomware cũng sử dụng mã nguồn của ransomware LockBit để tạo biến thể như Lambda (hoặc Synapse), Mordor, và Zgut. Phân tích cho thấy, file builder của LockBit 3.0 bị lộ lọt, tiết lộ đặc điểm “đơn giản tới mức báo động”, cho phép tạo biến thể mới và bổ sung chức năng phức tạp cho mã độc.