- 13,851
- 20
- 8 Ноя 2022
Традиционные антивирусы бессильны перед атакой на серверы.
Исследователи Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся эксплуатацию уязвимости Для просмотра ссылки Войди или Зарегистрируйся , которая используется для компрометации серверов Atlassian посредством установки бэкдора Godzilla.
Ошибка с оценкой Для просмотра ссылки Войдиили Зарегистрируйся обнаруженная в продуктах Confluence Data Center и Confluence Server, позволяет злоумышленникам выполнять произвольный код на уязвимых серверах, что может привести к компрометации всей системы. Несмотря на то, что уязвимость уже устранена, она также используется для установки майнеров.
При исследовании атаки было выявлено, что злоумышленники загружают на сервер Atlassian вредоносную программу, которая затем загружает веб-шелл Для просмотра ссылки Войдиили Зарегистрируйся Веб-шелл был разработан китайским пользователем под псевдонимом «BeichenDream» и предназначен для обхода традиционных средств защиты. Основное преимущество Godzilla заключается в использовании AES шифрования, что значительно затрудняет обнаружение.
Атака начинается с использования уязвимости CVE-2023-22527, через которую злоумышленники выполняют вредоносный код. После первоначальной загрузки вредоносного кода начинается выполнение сложной многоэтапной цепочки атак, включающей инъекцию специального кода в оперативную память сервера. Код позволяет хакерам внедрять собственные классы и методы, обеспечивая постоянный доступ к зараженному серверу.
Одной из особенностей атаки является использование техник Fileless malware, когда вредоносный код выполняется исключительно в оперативной памяти, что делает обнаружение и устранение особенно сложным. Такая атака может остаться незамеченной, если организации полагаются на устаревшие методы защиты, включая антивирусы, работающие на основе сигнатур.
Специалисты Trend Micro подчёркивают, что пользователи Atlassian Confluence должны немедленно применить исправления, чтобы предотвратить возможные атаки. Для этого важно не только регулярно обновлять ПО, но и использовать современные средства защиты, способные обнаруживать и предотвращать подобные атаки.
Веб-оболочка Godzilla Для просмотра ссылки Войдиили Зарегистрируйся в атаках. Например, во время эксплуатации уязвимости в Apache ActiveMQ. Godzilla позволяла получить полный контроль над целевым хостом, облегчая выполнение произвольных команд оболочки, просмотр сетевой информации и выполнение операций по управлению файлами.
Исследователи Trend Micro Для просмотра ссылки Войди
Ошибка с оценкой Для просмотра ссылки Войди
При исследовании атаки было выявлено, что злоумышленники загружают на сервер Atlassian вредоносную программу, которая затем загружает веб-шелл Для просмотра ссылки Войди
Атака начинается с использования уязвимости CVE-2023-22527, через которую злоумышленники выполняют вредоносный код. После первоначальной загрузки вредоносного кода начинается выполнение сложной многоэтапной цепочки атак, включающей инъекцию специального кода в оперативную память сервера. Код позволяет хакерам внедрять собственные классы и методы, обеспечивая постоянный доступ к зараженному серверу.
Одной из особенностей атаки является использование техник Fileless malware, когда вредоносный код выполняется исключительно в оперативной памяти, что делает обнаружение и устранение особенно сложным. Такая атака может остаться незамеченной, если организации полагаются на устаревшие методы защиты, включая антивирусы, работающие на основе сигнатур.
Специалисты Trend Micro подчёркивают, что пользователи Atlassian Confluence должны немедленно применить исправления, чтобы предотвратить возможные атаки. Для этого важно не только регулярно обновлять ПО, но и использовать современные средства защиты, способные обнаруживать и предотвращать подобные атаки.
Веб-оболочка Godzilla Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
