На скомпрометированные серверы злоумышленники устанавливают вымогательское ПО GandCrab и троян Dofloo.
Критическая уязвимость в Atlassian Confluence Server активно эксплуатируется киберпреступниками для удаленного взлома Linux- и Windows-серверов. На скомпрометированные серверы злоумышленники устанавливают вымогательское ПО GandCrab и троян Dofloo (другие названия AES.DDoS и Mr. Black).
Речь идет об уязвимости внедрения шаблонов (template injection) в Widget Connector (CVE-2019-3396), позволяющей удаленному атакующему осуществить обход каталога и выполнить произвольный код на установках Confluence Server или Data Center.
Как сообщает исследователь безопасности Аугусто Ремиллано (Augusto II Remillano) из компании Trend Micro, производитель выпустил патч для уязвимости 20 марта нынешнего года и настоятельно рекомендовал пользователям его установить.
В настоящее время для уязвимости доступно множество эксплоитов. Первый появился 10 апреля, и киберпреступники сразу же добавили его в свой арсенал. Начались массовые сканирования в поисках уязвимых установок Confluence Server и Data Center с целью заражения их вымогательским ПО GandCrab.
Скомпрометировав сервер, злоумышленники загружают с подконтрольной им машины набор инструментов Empire PowerShell, с помощью которого загружают заархивированную версию GandCrab. По данным специалистов из Alert Logic, для обхода обнаружения используется CertUtil LOLBin.
Через уязвимость CVE-2019-3396 злоумышленники также устанавливают вредоносное ПО Dofloo. Вредонос позволяет объединять большое количество взломанных серверов в ботнеты для DDoS-атак (с применением SYN, LSYN, UDP, UDPS и TCP-флуда) и майнинга криптовалюты.