Threat Spotlight: Examen approfondi d’une attaque de cryptomineur exploitant le bug Confluence

Dans la continuité de nos recherches sur les attaques cherchant à exploiter une vulnérabilité zero-day dans Atlassian Confluence, CVE-2022-26134, nous examinons de plus près l'un des cryptomineurs découverts dans les charges utiles de l'attaque.

La charge utile d'origine de l'attaque est la suivante :

Elle se traduit par :

La partie PowerShell de cette commande montre qu'elle cible spécifiquement les systèmes Windows. Le décodage nous amène ensuite à :

Nous avons pu télécharger le fichier wi.txt ainsi que les fichiers de configuration et les autres fichiers qu'il contenait. Ci-dessous, retrouvez l'analyse détaillée.

Analyse détaillée du cryptomineur XMRig

La capture d'écran ci-dessous présente la première section du fichier wi.txt :

Au début, on remarque une commande PowerShell semblable à la charge utile avec une chaîne encodée en base64, et une tâche planifiée avec une URL Pastebin.

La chaîne encodée en base64 se décode en un téléchargement PowerShell et en déclaration IEX, qui contient une URL Pastebin. Les deux URL Pastebin ne contiennent rien : aucune commande n'est exécutée et aucune activité similaire n'a lieu. D'après ce que nous savons, ces URL servent en quelque sorte à indiquer la fréquence d'exécution du fichier « wi.txt », wi.txt étant le nom de fichier de la charge utile d'origine. D'après les noms de fichiers des fichiers collés (« wi_wmi » et « wi_sch »), ceux-ci effectuent des fonctions spécifiques dans chaque cas. Le premier indique que les commandes WMI ont bien été exécutées et le second indique la fréquence d'exécution de la tâche planifiée. Ces chiffres indiquent le nombre de systèmes qui ont été infectés.

Ceci est suivi d'une élimination totale des concurrents. La fonction nommée « Killer » énumère plusieurs méthodes permettant d'identifier et de supprimer tout autre cryptomineur fonctionnant sur le système. Elle recherche des cryptomineurs en se basant sur :

• Les noms de service connus
• Les noms de processus connus
• Toutes les tâches planifiées connues utilisées par d'autres cryptomineurs
• L'identification des cryptomineurs concurrents par les arguments de la ligne de commande
• L'utilisation de netstat pour identifier les cryptomineurs concurrents par des connexions ouvertes

Il s'agit essentiellement d'une analyse très complète du système visant à supprimer toute concurrence afin de maximiser les ressources disponibles pour les opérations de minage de l'attaquant !

Après cela, une section cherche à nettoyer d'autres processus Windows. Fait intéressant ici, la suppression d'un processus de minage qui a été configuré pour s'exécuter de manière persistante via le registre Windows :

Enfin la dernière section exécute le script de nettoyage (clean.bat) pour la suppression des concurrents et la mise en place du nouveau cryptomineur :

Voici le bloc d'exécution réel du script, et vous pouvez voir ici le téléchargement du fichier exécutable de minage XMRig et du fichier de configuration associé.

Le fichier de configuration configure le cryptomineur, et on peut y voir le pool de minage, le nom d'utilisateur et le mot de passe :

Ce bloc a plusieurs utilités. Il s'assure entre autres que le nettoyage est effectué correctement par le biais de conditions d'erreur définies et vérifie que le cryptomineur fonctionne.

Dans l'ensemble, cette adresse IP propose ce cryptomineur depuis un certain temps et n'a toujours pas été supprimée. Il s'agit d'une analyse intéressante d'un cryptomineur bien pensé et bien écrit qui s'assurera qu'il obtient le maximum de ressources sur le système infecté et qu'il sera exécuté en permanence au profit de l'attaquant. Bien que nous ayons vu le déploiement de cette charge utile pour exploiter la vulnérabilité d'Atlassian, il est fort probable que la même charge utile ait été et soit également utilisée contre d'autres vulnérabilités.