Hacker stellen GandCrab Ransomware über eine Sicherheitsanfälligkeit in Bezug auf gepatchte Konflikte bereit

Die Collaboration-Software der australischen Firma Atlassian Confluence ist wieder auf dem Radar der Hacker. Obwohl das Unternehmen am 20. März 2019 einen Patch für eine Reihe kritischer Sicherheitslücken in seinem Hauptprodukt veröffentlicht hat, scheinen Angreifer immer noch in der Lage zu sein, einen dieser Fehler auszunutzen, um die Server von Tausenden von Unternehmen weltweit mit dem weit verbreiteten und verheerenden GandCrab zu infizieren Ransomware . GandCrab erschien im Januar 2018 und wird derzeit noch von seinen Machern in Untergrundforen anderen Hacking-Gruppen im Austausch für einen Teil des Gewinns angeboten. Da es für die neueste Version von GandCrab 5.2 noch keine kostenlosen Entschlüsselungsschlüssel gibt, ist diese Malware eine große Bedrohung für Verbraucher und Unternehmen.

Confluence basiert auf Java und ist eine Wiki-Anwendung, mit der Mitarbeiter eines Unternehmens einen gemeinsamen Bereich haben, in dem sie gemeinsame Projekte bearbeiten und Aufgaben erledigen können. Die problematische Sicherheitsanfälligkeit, die als CVE - 2019 - 3396 nachverfolgt wird, hängt mit dem Widget Connector von Confluence zusammen - einer Funktion, mit der Benutzer Inhalte aus sozialen Medien oder anderen Websites in Webseiten einbetten können. Durch diese Sicherheitslücke können Angreifer Befehle in "_template" einfügen und anschließend nicht autorisierten Remotecode ausführen. Auf diese Weise können sie die vollständige Kontrolle über den Zielhost erlangen. Betroffen sind nach Angaben von Vertretern des australischen Unternehmens alle Versionen von Confluence Server und Confluence Data Center vor 6.6.12, 6.12.3, 6.13.3 und 6.14.2.

Gefundene Sicherheitslücken, die als Grund für die Sicherheitsanfälligkeit von Confluence gelten

Das Cybersicherheitsunternehmen Alert Logic hat gerade einen Bericht veröffentlicht, in dem ein Proof-of-Concept-Exploit-Code für CVE - 2019 - 3396 am 10. April 2019 veröffentlicht wurde. Es dauerte ungefähr eine Woche, bis die ersten Server mit Sicherheitslücken auftraten. Dem ersten der betroffenen Confluence-Kunden wurde eine schädliche Nutzlast injiziert, die das System zur Interaktion mit einer in der Alert Logic-Datenbank bekannten IP-Adresse zwang. Ursprünglich war dies nämlich mit einer anderen Sicherheitslücke verbunden - einer Oracle Weblogic-Sicherheitslücke namens CVE-2017-10271. Diese Erkenntnis führte die Forscher zu dem Schluss, dass dieselben Angreifer, die die IP-Adresse kontrollieren, auch für die Confluence-Sicherheitslücken verantwortlich sind.

Der Warnungslogikbericht bietet eine detaillierte Ansicht der Angriffe. Nachdem die Confluence-Server kompromittiert wurden, stellen die Angreifer eine schädliche Nutzlast bereit, die wiederum ein schädliches PowerShell-Skript auf das Zielsystem herunterlädt und dieses ausführt. Anschließend lädt das Skript von einer Pastebin-Seite eine speziell zugeschnittene Version des Open-Source-PowerShell-Agenten nach der Ausnutzung herunter, der als Empire bezeichnet wird. Die Angreifer verwenden dann den Empire-Agenten, um eine ausführbare Datei in den Speicher eines laufenden Prozesses einzufügen. Weitere Untersuchungen haben ergeben, dass diese ausführbare Datei len.exe heißt und das berüchtigte Ransomware-Programm GandCrab 5.2 darstellt.

Die ungewöhnliche Methode, GandCrab über nicht authentifizierte Remotecodeausführung zu verbreiten, hat die Forscher zunächst verwundert, da Ransomware normalerweise über Phishing-E-Mails mit daran angehängten schädlichen Office-Dokumenten verbreitet wird. Angreifer nutzen in der Regel Sicherheitslücken in servertypischer Software aus, um Crypto-Mining-Malware bereitzustellen, da diese Programme eine bessere Nutzung der Ressourcen solcher Systeme gewährleisten. Im Fall der Sicherheitsanfälligkeit "Confluence" haben die Angreifer jedoch wahrscheinlich die Tatsache berücksichtigt, dass die Anwendung wertvolle Unternehmensdaten enthält, die möglicherweise nicht ausreichend gesichert werden. Daher übersteigen die potenziellen Einnahmen aus einem Ransomware-Angriff wahrscheinlich die Gewinne aus dem Mining von Kryptowährung die infizierten Hosts.