Erkennung von Atom Silo Ransomware-Infektionen

[post-views]
Oktober 13, 2021 · 4 min zu lesen
Erkennung von Atom Silo Ransomware-Infektionen

Ransomware-Akteure versuchen, an der Spitze der bösartigen Entwicklungen zu bleiben, um größere Gewinne zu erzielen. Kürzlich entdeckten Sicherheitsforscher einen neuen Bedrohungsakteur, der eine kritische Schwachstelle in Atlassian Confluence (CVE-2021-26084) ausnutzt, um Ransomware-Infektionen voranzutreiben. Das Atom Silo genannte Team setzt auf CVE-2021-26084 und verschiedene neue Verschleierungstechniken, um unbemerkt zu bleiben und Erpressungsangriffe erfolgreich durchzuführen.

Atom Silo Ransomware 

Laut der eingehenden Untersuchung von Sophos Labs hat Atom Silo viel gemeinsam mit so produktiven Ransomware-Strains wie LockFile und LockBit. Ähnlich wie LockFile, das PetitPotam and ProxyShell Schwachstellen in Microsoft-Produkten zu Beginn des Jahres ausnutzte, nutzte Atom Silo eine kritische Schwachstelle in Atlassian Confluence Server und Data Center (CVE-2021-26084) zur Infektion. 

Die Ransomware nutzte CVE-2021-26084 aus und aktualisierte die Angriffskette nur drei Wochen nach der Entdeckung des Fehlers, wodurch die Chancen für erfolgreiche Angriffe erhöht wurden. Um der Angriffsschwere noch zuzusetzen, übernahmen die Atom Silo-Betreiber auch mehrere innovative Techniken, um der Erkennung zu entgehen. 

Nach dem ersten Eindringen nutzten Ransomware-Akteure den Confluence Server-Bug (CVE-2021-26084), um eine Hintertür zu erstellen. Diese erste Hintertür wurde weiter verwendet, um eine zweite, unauffälligere Hintertür durch DLL-Seiteneinbindung fallen zu lassen und zu initiieren. Die zweite Hintertür half Hackern, Windows-Shell-Befehle remote über die Windows-Verwaltungsschnittstelle (WMI) auszuführen und sich lateral im infizierten Netzwerk zu bewegen. 

Wie oben beschrieben ist nicht der einzige Trick, den die Atom Silo-Gruppe anwendete, um der Erkennung zu entgehen. Die Hackergruppe rüstete die Ransomware-Nutzlast auch mit einem bösartigen Kernel-Treiber aus, der es ermöglicht, die Endpoint-Schutzmaßnahmen zu durchbrechen.

Confluence-Schwachstelle (CVE-2021-26084) unter Beschuss

Am 25. August 2021 gab Atlassian einen dringenden Sicherheitshinweis heraus, um eine kritische Remote-Code-Ausführungs-Schwachstelle (RCE) zu beheben, die den Confluence Server und das Data Center betrifft. Als ein OGNL Injection-Problem ermöglicht die Schwachstelle authentifizierten (und in einigen Fällen unauthentifizierten) Akteuren die Ausführung beliebigen Codes auf exponierten Instanzen.

Eine Woche nach Veröffentlichung des Hinweises veröffentlichten Sicherheitsforscher ein PHP-Proof-of-Concept (PoC) Exploit für diesen Fehler, begleitet von einer detaillierten technischen Analyse. Das PoC löste eine Lawine von Scans auf den exponierten Confluence Servern und Data Center Instanzen aus, mit mehreren Gegnern, die CVE-2021-26084 verwenden, um Krypto-Miner zu installieren. Außerdem nutzten Atom Silo-Gruppen mehrere Wochen nach der Entdeckung des Fehlers die Schwachstelle, um ihre Opfer anzugreifen.

U.S. Cyber Command (USCYBERCOM) gab dringend eine Warnung heraus, um US-Unternehmen aufzufordern, die kritische Atlassian Confluence-Schwachstelle unter massiver Ausnutzung zu adressieren. CISA hat ebenfalls auf die Dringlichkeit hingewiesen die exponierten Instanzen so schnell wie möglich zu patchen.

Atom Silo-Erkennung

Um Atom Silo-Infektionen, die auf der Atlassian Confluence RCE-Schwachstelle basieren, zu erkennen, können Sie einen Satz kostenloser Sigma-Regeln herunterladen, die von unserem engagierten Threat Bounty-Entwickler Sittikorn Sangrattanapitakveröffentlicht wurden. Zusätzlich können Sie unsere Branchenrichtlinien überprüfen, um mehr über die besten Praktiken zur Verteidigung gegen den Ransomware-Strain zu erfahren.

Atom Silo Ransomware nutzt Confluence OGNL-Schwachstelle CVE-2021-26084 (über Proxy)

Die Regel hat Übersetzungen für die folgenden SIEM Security Analytics-Plattformen: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

Die Regel ist auf die MITRE ATT&CK-Methodik abgebildet, die auf die Taktiken Auswirkungen, Persistenz, Privilegieneskalation und Abwehrumgehung abzielt. Insbesondere befasst sich die Erkennung mit der Technik Datenverschlüsselung für Auswirkungen (t1486) und der Technik der öffentlichen Anwendungs-Angriffe (t1190) sowie der Sub-Technik des DLL-Seiteneinbindungs (T1574.002) der Hijack Execution Flow (t1574) Technik.

Atom Silo Ransomware nutzt Confluence RCE und DLL-Seiteneinbindung (über Datei-Ereignis)

Die Regel hat Übersetzungen für die folgenden SIEM Security Analytics-Plattformen: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, SentinelOne, Qualis.

Die Regel ist auf die MITRE ATT&CK-Methodik abgebildet, die auf die Taktiken Auswirkungen, Persistenz, Privilegieneskalation und Abwehrumgehung abzielt. Insbesondere bezieht sich die Erkennung auf die Technik Datenverschlüsselung für Auswirkungen (t1486) sowie die Sub-Technik der DLL-Seiteneinbindung (T1574.002) der Hijack Execution Flow (t1574) Technik.

Um die bösartige Aktivität im Zusammenhang mit der CVE-2021-26084-Schwachstelle im Atlassian Confluence Server und Data Center zu erkennen und zu mindern, prüfen Sie die Liste der Entdeckungen die bereits auf der SOC Prime-Plattform verfügbar sind.

Registrieren Sie sich bei der SOC Prime-Plattform, um die Bedrohungserkennung einfacher, schneller und unkomplizierter zu gestalten. Jagen Sie sofort nach den neuesten Bedrohungen innerhalb von über 20 unterstützten SIEM & XDR-Technologien, automatisieren Sie die Bedrohungsuntersuchung, und erhalten Sie Feedback und Prüfung durch eine Community von über 20.000 Sicherheitsexperten, um Ihre Sicherheitsoperationen zu stärken. Möchten Sie eigene Erkennungsinhalte entwickeln? Treten Sie unserem Threat Bounty-Programm bei, teilen Sie Ihre Sigma- und Yara-Regeln im Threat Detection Marketplace-Repository und erhalten Sie wiederkehrende Belohnungen für Ihren individuellen Beitrag!

Gehe zur Plattform Trete dem Threat Bounty bei

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt 5 min zu lesen Neueste Bedrohungen Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt by Daryna Olyniychuk Interlock-Ransomware-Erkennung: Gemeinsame Warnung von FBI und CISA vor großangelegten ClickFix-Angriffen 3 min zu lesen Neueste Bedrohungen Interlock-Ransomware-Erkennung: Gemeinsame Warnung von FBI und CISA vor großangelegten ClickFix-Angriffen by Veronika Telychko CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt 4 min zu lesen Neueste Bedrohungen CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt by Daryna Olyniychuk
Alle Nachrichten