Von den vielen Bedrohungsakteuren, die den Zero-Day-Bug von Confluence ausnutzen, Forscher von CheckPoint haben eine Gruppe namens 8220 Gang entdeckt, die Krypto-Miner zum Schürfen von Kryptowährungen installiert.
Sie zielen mit ihrer Mining-Malware sowohl auf Linux- als auch auf Windows-Rechner ab und erschöpfen alle Ressourcen der anfälligen Confluence-Server, bis diese entwurzelt sind. Um dies zu vermeiden, riet der Hersteller von Confluence – Atlassian – den Benutzern, das Patch-Update anzuwenden, das vor einer Woche verfügbar gemacht wurde.
Ausnutzen des Zero-Day-Bugs in Confluence
Ende letzten Monats entdeckten Forscher eine neue Zero-Day-Sicherheitslücke in Confluence von Atlassian – einem Kollaborationstool, das von Unternehmen zur Verwaltung von Arbeit und Kommunikation verwendet wird. Unter der Bezeichnung CVE-2022-26134 wurden kurz darauf mehrere Proof-of-Concept-Exploits für diesen Bug veröffentlicht.
Dies führte dazu, dass viele Bedrohungsakteure anfällige Confluence-Server auf der ganzen Welt ins Visier nahmen. Die meisten von ihnen erstellten neue Administratorkonten, installierten Web-Shells und führten Remote-Befehle aus, um letztendlich die Kontrolle über die angegriffenen Server zu übernehmen.
Aber Forscher von CheckPoint hat einen neuen Bedrohungsakteur namens „8220 Gang“ entdeckt, der diesen Fehler zum Mining von Kryptowährungen ausnutzt. Ihrer Anmerkung zufolge startet die Hackergruppe ihre Kampagne, indem sie eine speziell gestaltete HTTP-Anfrage an den anfälligen Confluence-Server sendet, sei es Linux oder Windows.
Dieses Skript nutzt den Fehler aus, um eine base64-codierte Nutzlast abzulegen, die wiederum eine ausführbare Datei abruft – ein Malware-Dropper-Skript unter Linux und einen Child-Process-Spawner unter Windows. In beiden Fällen zielen diese ausführbaren Dateien darauf ab, eine Neustartpersistenz durch Cron-Jobs oder Startordner zu erreichen.
Außerdem deinstallieren sie alle laufenden Agenten und aktivieren dann den Miner, um den Prägevorgang zu starten. Kryptomining würde auf lange Sicht (oder, wenn man es ganz genau nimmt, auch kurzfristig) zu schnellerem Hardware-Verschleiß, verringerter Serverleistung und sogar zu Geschäftsunterbrechungen führen.
Schließlich soll das Linux-Skript sogar nach SSH-Schlüsseln suchen, um andere Systeme im Netzwerk zu kapern und zu poolen.Daneben nutzen laut Forschern auch einige andere Linux-Botnetze wie Kinsing, Hezb und Dark.IoT diesen Zero-Day-Bug aus, um Backdoors und Krypto-Miner einzusetzen.
Um dies zu vermeiden, hat der Entwickler der infizierten Confluence-Suite, Atlassian, am 3. Juni 2022 einen Patch veröffentlicht und den Benutzern geraten, diesen so schnell wie möglich anzuwenden.
