Новости «Годзилла» в тени: невидимый ящер проникает в сердце Atlassian

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Традиционные антивирусы бессильны перед атакой на серверы.


ryrflde1ssvstw68z4553m1v29ifzq14.jpg


Исследователи Trend Micro Для просмотра ссылки Войди или Зарегистрируйся эксплуатацию уязвимости Для просмотра ссылки Войди или Зарегистрируйся , которая используется для компрометации серверов Atlassian посредством установки бэкдора Godzilla.

Ошибка с оценкой Для просмотра ссылки Войди или Зарегистрируйся обнаруженная в продуктах Confluence Data Center и Confluence Server, позволяет злоумышленникам выполнять произвольный код на уязвимых серверах, что может привести к компрометации всей системы. Несмотря на то, что уязвимость уже устранена, она также используется для установки майнеров.

При исследовании атаки было выявлено, что злоумышленники загружают на сервер Atlassian вредоносную программу, которая затем загружает веб-шелл Для просмотра ссылки Войди или Зарегистрируйся Веб-шелл был разработан китайским пользователем под псевдонимом «BeichenDream» и предназначен для обхода традиционных средств защиты. Основное преимущество Godzilla заключается в использовании AES шифрования, что значительно затрудняет обнаружение.

Атака начинается с использования уязвимости CVE-2023-22527, через которую злоумышленники выполняют вредоносный код. После первоначальной загрузки вредоносного кода начинается выполнение сложной многоэтапной цепочки атак, включающей инъекцию специального кода в оперативную память сервера. Код позволяет хакерам внедрять собственные классы и методы, обеспечивая постоянный доступ к зараженному серверу.

Одной из особенностей атаки является использование техник Fileless malware, когда вредоносный код выполняется исключительно в оперативной памяти, что делает обнаружение и устранение особенно сложным. Такая атака может остаться незамеченной, если организации полагаются на устаревшие методы защиты, включая антивирусы, работающие на основе сигнатур.

Специалисты Trend Micro подчёркивают, что пользователи Atlassian Confluence должны немедленно применить исправления, чтобы предотвратить возможные атаки. Для этого важно не только регулярно обновлять ПО, но и использовать современные средства защиты, способные обнаруживать и предотвращать подобные атаки.

Веб-оболочка Godzilla Для просмотра ссылки Войди или Зарегистрируйся в атаках. Например, во время эксплуатации уязвимости в Apache ActiveMQ. Godzilla позволяла получить полный контроль над целевым хостом, облегчая выполнение произвольных команд оболочки, просмотр сетевой информации и выполнение операций по управлению файлами.
 
Источник новости
www.securitylab.ru

Похожие темы