Специалисты SophosLabs предупреждают, что новая вымогательская группировка Atom Silo эксплуатирует уязвимость, недавно исправленную в составе Confluence Server и Data Center (CVE-2021-26084).
Напомню, что эта проблема была устранена в конце августа. RCE-уязвимость позволяла неаутентифицированному злоумышленнику удаленно выполнять команды на уязвимом сервере, и баг представлял опасность для всех версий Confluence Server и Data Center.
Как теперь пишут специалисты SophosLabs, малварь Atom Silo почти идентична вредоносу LockFile, используемую одноименной группировкой. При этом операторы Atom Silo применяют ряд новых методов, которые затрудняют расследование, включая side-loading вредоносных DLL, специально предназначенных для нарушения работы защитного ПО.
После компрометации сервера Confluence и установки бэкдора злоумышленники устанавливают в систему скрытый бэкдор второго уровня, используя side-loading DLL, чтобы запустить его в взломанной системе. Кроме того, вымогательские пейлоады, развернутые Atom Silo, поставляются с вредоносным драйвером ядра, который используется для нарушения работы различных защитных продуктов.
«[Операторы] Atom Silo прилагают значительные усилия, чтобы избежать обнаружения до запуска программы-вымогателя, включая использование устаревших методов на новый лад. Помимо самих бэкдоров, злоумышленники применяют только собственные инструменты и ресурсы Windows для перемещения по сети (пока не развернут программу-вымогатель)», — пишут эксперты.
Ранее ИБ-специалисты уже предупреждали о том, что злоумышленники используют новую проблему для установки майнеров. Еще тогда представители Киберкомандования США писали, что ситуация, вероятно, будет лишь ухудшаться, и призывали администраторов срочно установить исправления.