Злоумышленники используют RCE-уязвимость в Atlassian Confluence для распространения шифровальщика GandCrab. Заплатка для бреши CVE-2019-3396 вышла 20 марта, однако далеко не все пользователи вики-системы успели ее установить.

Согласно отчету ИБ-компании Alert Logic, начало вредоносной кампании 10 апреля положила публикация PoC-эксплойта. Связанная с модулем Widget Connector проблема позволяла злоумышленникам удаленно исполнить любой код на скомпрометированных серверах. Под угрозой оказались пользователи всех версий Confluence Server и Data Center до 6.6.12, 6.12.3, 6.13.3 и 6.14.2.

«PoC-код появился в открытом доступе 10 апреля. На следующий день мы заметили первые попытки атаки через этот вектор, — сообщили представители Alert Logic. — Через неделю мы обнаружили первые заражения».

После отработки эксплойта на взломанный хост по FTP загружался файл win.vm. Он содержал PowerShell-скрипт для проверки системы и загрузки соответствующей версии вредоносного файла len.exe из репозитория Pastebin. По совокупности признаков специалисты определили, что конечной целью взломщиков является установка шифровальщика Gandcrab 5.2 с помощью PowerShell-агента на основе фреймворка EmpireProject.

Злоумышленники использовали RCE-брешь для распространения вредоносов и раньше. Так, в 2016 году мошенники внедряли вымогатель SamSam посредством эксплуатации уязвимости в серверах приложений JBoss. Однако в 2017-м вследствие появления нового, более легкого способа монетизации взломов — криптоджекинга — популярность шифровальщиков в криминальной среде начала снижаться. В случае с вики-системой Confluence преступники могли посчитать вероятность выплаты вознаграждения достаточно высокой, чтобы отказаться от майнинга на взломанных серверах.

Несмотря на регулярное появление бесплатных инструментов для восстановления зашифрованных файлов, решения для GandCrab версии 5.2 пока что не существует. Чтобы предотвратить заражение, пользователям Atlassian Confluence рекомендуется обновить ПО.

Категории: Уязвимости