Linux Cerber 勒索软件变种利用 Atlassian 服务器漏洞实施攻击

据称，有黑客利用未打补丁的 Atlassian 服务器并部署 Cerber 勒索软件的 Linux 变体（也称为 C3RB3R）。

此次攻击利用了Atlassian Confluence 数据中心和服务器中的一个严重安全漏洞 CVE-2023-22518，未经身份验证的攻击者能够重置 Confluence 并创建管理员帐户。

有了这种访问权限，黑客冒着失去机密性、完整性和可用性的风险去控制系统。出于经济动机的网络犯罪团伙利用新创建的管理员帐户安装 Effluence Web shell 插件，从而能够执行任意命令。

Cado 的威胁情报工程师内特·比尔 (Nate Bill) 在周二发表的博客文章中谈论了此次事件。他指出，主要的 Cerber 有效负载在“confluence”用户下执行，且将其加密范围限制为该用户拥有的文件。 Rapid7 曾于2023 年 11 月标记过此漏洞。

该勒索软件的核心组件是用 C++ 编写的，它是很多同样用 C++ 编写的有害软件的载体。该附加软件是从攻击者控制的中央服务器中获取的。

一旦其任务完成，主要的勒索软件组件就会被系统删除。而其他两个被涉及到的组件中：一个检查勒索软件是否具有必要的权限，而另一个则对计算机上的文件进行加密，让它们在支付赎金之前无法访问。

尽管勒索信中有声称会有数据泄露，但并没有发生。 Bill 表示，在转向 Golang 和 Rust 等跨平台语言的过程中，纯 C++ 有效负载的主导地位是值得注意的。

这位安全研究人员强调了Cerber 的复杂性，但也指出了特别是在配置良好且具有备份的系统中，仅加密 Confluence 数据的局限性，从而降低了受害者付费的动力。

这些发展与针对 Windows 和 VMware ESXi 服务器的新勒索软件系列的出现处在同时期。此外，勒索软件攻击者正在使用泄露的 LockBit 勒索软件源代码定制变体，这也突显了员工需要准备强力的安全措施、具备强大的网络安全文化。

转自安全客，原文链接：https://www.anquanke.com/post/id/295752