Eine kritische Sicherheitslücke im Atlassian Confluence Server, die vor einigen Monaten bekannt wurde, wurde inzwischen gepatcht und wird aktiv für illegales Kryptowährungs-Mining auf ungepatchten Installationen ausgenutzt.
„Wenn die Schwachstelle nicht behoben und erfolgreich ausgenutzt wird, könnte sie für mehrere bösartige Angriffe genutzt werden, z. B. für eine vollständige Übernahme der Infrastruktur und den Einsatz von Informationstrojanern, Remote Access Trojanern (RATs) und Ransomware“, so Trend Micro Bedrohungsforscher Sunil Bharti in einem Bericht.
Die Schwachstelle mit der Bezeichnung CVE-2022-26134 (CVSS-Score: 9.8) wurde von dem australischen Softwareunternehmen im Juni 2022 behoben.
In einer der von dem Cybersecurity-Unternehmen beobachteten Infektionsketten wurde die Schwachstelle ausgenutzt, um ein Shell-Skript („ro.sh“) auf den Rechner des Opfers herunterzuladen und auszuführen, das wiederum ein zweites Shell-Skript („ap.sh“) nach sich zog.
Der bösartige Code wurde entwickelt, um die PATH-Variable zu aktualisieren und zusätzliche Pfade wie „/tmp“ einzufügen, das cURL-Dienstprogramm (falls nicht bereits vorhanden) von einem entfernten Server herunterzuladen, die iptables-Firewall zu deaktivieren, die PwnKit-Schwachstelle (CVE-2021-4034) zu missbrauchen, um Root-Rechte zu erlangen, und schließlich den Krypto-Miner hezb einzusetzen.
Wie andere Cryptojacking-Angriffe beendet das Shell-Skript auch andere konkurrierende Coin-Miner, deaktiviert die Agenten der Cloud-Service-Provider von Alibaba und Tencent und führt dann eine laterale Bewegung über SSH durch.
Die Ergebnisse spiegeln ähnliche Angriffsversuche wider, die im Juni von Lacework, Microsoft, Sophos und Akamai bekannt gegeben wurden.
Die Analyse von Lacework zeigt außerdem, dass der Command-and-Control-Server (C2), der zum Abrufen der cURL-Software und des hezb-Miners verwendet wurde, auch eine Golang-basierte ELF-Binärdatei namens „kik“ verteilt hat, die es der Malware ermöglicht, interessante Prozesse zu beenden.
Den Nutzern wird empfohlen, die Schwachstelle vorrangig zu patchen, da sie von Bedrohungsakteuren für andere schändliche Zwecke missbraucht werden könnte.
„Angreifer könnten ihren eigenen Code zur Interpretation einschleusen und sich Zugang zur Confluence-Domäne verschaffen, auf die sie es abgesehen haben, sowie Angriffe durchführen, die von der Kontrolle des Servers für nachfolgende bösartige Aktivitäten bis hin zur Beschädigung der Infrastruktur selbst reichen“, so Bharti.