Threat Spotlight : les attaques continuent sur Atlassian Confluence zero day
Le 2 juin 2022, Volexity a réalisé une divulgation coordonnée d'une vulnérabilité zero-day en cours d'exploitation sur Atlassian Confluence, nommée CVE-2022-26134. Depuis la divulgation initiale et la publication ultérieure de diverses démonstrations de faisabilité, les chercheurs de Barracuda ont découvert un grand nombre de tentatives d’exploitation de cette vulnérabilité. Les tentatives d'exploitation vont de la reconnaissance bénigne à des tentatives relativement complexes d'infection de systèmes par des logiciels malveillants de type botnet DDoS et des cryptomineurs.
Lorsque nous avons signalé cette menace pour la première fois en juin, les chercheurs de Barracuda constataient un flot constant d'attaques visant à exploiter cette vulnérabilité, avec plusieurs pics importants. Nos chercheurs ont continué de surveiller ces attaques, et cette tendance s'est maintenue, le volume global n'ayant diminué que légèrement en août. Les attaquants n'ont clairement pas renoncé à exploiter cette vulnérabilité.
Dans le premier Threat Spotlight, nous avons examiné certaines des charges utiles diffusées et les sources des attaques. Dans ce Threat Spotlight, nous examinons plus en détail quelques-unes des charges utiles diffusées par des acteurs malveillants qui tentent d'exploiter CVE-2022-26134.
Exemples de charges utiles
Voyons voir tout d'abord une tentative de diffusion du malware botnet DDoS Gafgyt.
Exemple 1 : malware botnet DDoS
Voici la charge utile telle qu'elle a été livrée :
Elle se traduit par :
L'adresse IP de cette charge utile envoie un script shell exécuté, puis supprimé. En accédant à l'adresse IP, on peut trouver un répertoire ouvert contenant un certain nombre de fichiers exécutables, chacun correspondant apparemment à un type de système d'exploitation/architecture différent.
En ouvrant le script shell, on remarque qu’il télécharge ces fichiers exécutables, puis les exécute sur le système où il a été lancé.
L’attaquant tente essentiellement de créer un membre de botnet sur n’importe quel système pouvant être infecté. Selon le système d'exploitation/l'architecture du système infecté, l'un de ces fichiers exécutables sera exécuté et le système finira par faire partie du botnet. On a déjà vu Gafgyt agir de cette manière auparavant avec d'autres vulnérabilités, et cela continue maintenant également avec celle-ci.
L'adresse IP en question propose ces téléchargements de logiciels malveillants depuis un certain temps déjà et a été répertoriée sur la base de données URLhaus du site abuse.ch. À première vue, les premières soumissions datent de la fin mai de cette année, et l’hôte n’avait pas été retiré au moment de la rédaction de cet article.
Exemple 2 : cryptomineur Monero
Passons maintenant aux charges utiles des cryptomineurs. Commençons par nous intéresser au cryptomineur Monero qui tente d'infecter une installation Windows :
La charge utile utilise PowerShell pour exécuter un script encodé en base64 qui se traduit par :
Nous avons téléchargé le fichier (kill.bat) et l'on obtient la capture d'écran ci-dessous :
Il s'agit d'un script basé sur PowerShell qui commence par désactiver la surveillance en temps réel de Windows Defender, puis met fin à un certain nombre de services. Une fois ces services supprimés, il vérifie si une instance de Monero est déjà en cours d'exécution. Si c'est le cas, le script arrête l'instance existante pour optimiser les ressources sur l'hôte infecté. Ensuite, il télécharge un fichier nommé « mad.bat ». Une capture d'écran tronquée est illustrée ci-dessous :
Exemple 3 : cryptomineur à double encodage
L'exemple suivant est une autre charge utile intéressante de cryptomineur, où celle-ci a été codée deux fois :
Elle se traduit par :
Elle se traduit par :
Puis on obtient :
Même si la charge utile réelle a été supprimée et n'est plus disponible pour être analysée, d'après la base de données URLhaus et VirusTotal, il semble s'agir d'un cryptomineur qui cible spécifiquement les systèmes Linux. D'après d'autres discussions en ligne, il semble que l'argument « ?load » varie d'une attaque à l'autre : certaines autres variantes sont « ?c4k » et « ?c5k ». Les arguments semblent être utilisés en interne par le binaire réel et pour se connecter à des services de minage spécifiques.
La même adresse IP a également servi une variante pour Windows comme indiqué dans la charge utile suivante :
Elle se traduit par :
Encore une fois, la charge utile n'est plus disponible, donc ce qui suit n'est qu'une spéculation basée sur ce que nous avons vu sur l'adresse IP et le nom de fichier. Elle est peut-être similaire à la variante Linux et peut télécharger le véritable cryptomineur. Le mot « lol » dans le nom de fichier peut faire référence à la technique d'attaque « living off the land », dans laquelle le logiciel malveillant utilise les outils existants disponibles sur le système d'exploitation pour agir, réduisant ainsi les risques d'être détecté en tant que logiciel malveillant par tout antivirus exécuté sur le système d'exploitation.
Dans notre prochaine et dernière partie de ce Threat Spotlight, nous étudierons en détail un autre cryptomineur qui a été découvert lors de tentatives d'exploitation de cette vulnérabilité. Il est un peu plus intéressant, et nous avons réussi à saisir toute la charge utile pour une analyse détaillée.
