Detección del Ataque de Ransomware del Equipo ELPACO: Hackers Explotan Vulnerabilidad de Atlassian Confluence (CVE-2023-22527) para Obtener Acceso RDP y Habilitar RCE
Tabla de contenidos:
En el panorama de ransomware de rápida evolución de hoy, los actores de amenazas están acelerando sus tácticas para obtener acceso y desplegar cargas útiles con una velocidad alarmante. Cada vez más, los atacantes están aprovechando vulnerabilidades conocidas como puntos de entrada, como se vio en un ataque reciente donde los adversarios explotaron CVE-2023-22527, una falla de inyección de plantillas de máxima severidad en Atlassian Confluence, para comprometer un sistema expuesto a internet. Solo 62 horas después, los adversarios ejecutaron la siguiente etapa: desplegar el ransomware del equipo ELPACO ransomware, una variante de Mimic, que apuntó a servidores crÃticos de respaldo y archivos a través de RDP y comparticiones SMB.
Detectar la explotación de CVE-2023-22527 para desplegar el ransomware del equipo ELPACO
Según Sophos, el costo promedio de recuperación de ransomware se disparó a 2.73 millones de dólares en 2024, un asombroso aumento del 500% respecto al año anterior. Este fuerte aumento resalta el creciente impacto financiero de los ciberataques y la urgente necesidad de más estrategias de defensa proactivas. Para adelantarse a amenazas como el reciente incidente de ransomware del equipo ELPACO, los defensores cibernéticos necesitan CTI confiable y oportuno y contenido de detección procesable para siempre estar un paso adelante de los atacantes.
RegÃstrese en la Plataforma SOC Prime y acceda a un conjunto dedicado de reglas Sigma que abordan la reciente campaña que explota la vulnerabilidad de Atlassian Confluence (CVE-2023-22527) para la distribución del ransomware del equipo ELPACO. El contenido de detección seleccionado está respaldado por un conjunto completo de productos para ingenierÃa de detección impulsada por IA, caza de amenazas automatizada y detección avanzada de amenazas. Solo presione el botón Explorar Detecciones a continuación y profundice inmediatamente en un conjunto de contenido relevante.
Además, los profesionales de seguridad pueden localizar contenido de detección especÃfico para la explotación de CVE-2023-22527 navegando por el Mercadillo de Detección de Amenazas usando el etiqueta de ID de CVE. Los defensores también pueden explorar toda la colección de reglas de detección para explotación de vulnerabilidades buscando con la etiqueta más amplia «CVE» o aplicar la etiqueta «Ransomware» para acceder a un conjunto de reglas de detección que cubren ataques de ransomware en todo el mundo.
Todas las reglas en la Plataforma SOC Prime son compatibles con múltiples soluciones SIEM, EDR y Data Lake y mapeadas al marco MITRE ATT&CK®. Además, cada regla está cargada con metadatos detallados, incluyendo referencias de inteligencia de amenazas , cronologÃas de ataques, recomendaciones de evaluación y más.
Además, los expertos en seguridad pueden facilitar la investigación de amenazas usando Uncoder AI – un IDE privado y copiloto para la ingenierÃa de detección basada en amenazas – ahora completamente gratuito y disponible sin lÃmites de token en funciones de IA. Genere algoritmos de detección a partir de informes de amenazas en bruto, habilite barridos rápidos de IOC en consultas optimizadas para el rendimiento, prediga etiquetas ATT&CK, optimice el código de consulta con consejos de IA y tradúzcalo en varios idiomas de SIEM, EDR y Data Lake.
Análisis de CVE-2023-22527: Ataques por el ransomware del equipo ELPACO
Recientemente, los defensores identificaron una campaña de ataque sofisticada en la que actores de amenazas utilizaron una vulnerabilidad conocida en un servidor de Atlassian Confluence expuesto a internet y sin parchear para iniciar una operación de ransomware.
La violación, que tuvo lugar a principios del verano de 2024, involucró la explotación de CVE-2023-22527, una vulnerabilidad de inyección de plantillas con un puntaje CVSS alcanzando 10.0. La falla afecta a las versiones anteriores de Confluence Data Center y Server (de 8.0.x a 8.4.x, asà como de 8.5.0 a 8.5.3), facilitando RCE y acceso no autorizado. Notablemente, los atacantes esperaron aproximadamente 62 horas después del compromiso inicial antes de desplegar ransomware, indicando un enfoque deliberado y sigiloso.
La cadena de infección comenzó con la explotación de CVE-2023-22527 en un servidor Confluence. El análisis del tráfico de red mostró la técnica utilizada, con los atacantes inicialmente emitiendo un comando «whoami» para probar el acceso antes de entregar cargas útiles más dañinas. Según la investigación de DFIR Report, una vez dentro, los adversarios ejecutaron repetidamente un conjunto de acciones, como desplegar cargas útiles de Metasploit , establecer conexiones C2 e instalar AnyDesk para mantener el acceso persistente. Luego escalaron privilegios, extrajeron credenciales usando herramientas como Mimikatz, habilitaron el acceso RDP y se movieron lateralmente a través de la red. En las etapas finales de la cadena de ataque, los atacantes desplegaron el ransomware del equipo ELPACO, una variante conocida de ransomware Mimic. Aunque los atacantes eliminaron ciertos registros de eventos, no hubo evidencia de exfiltración significativa de datos durante el ataque.
Un detalle clave de la campaña fue la reutilización de una sola dirección IP (45.227.254.124) tanto para escanear vulnerabilidades como posteriormente para servir como un servidor AnyDesk autohospedado, lo que apunta a una infraestructura maliciosa deliberadamente preparada.
Durante todo el ataque, se colocó un ejecutable malicioso en un directorio inusual dentro de la carpeta temporal del perfil NetworkService. TenÃa importaciones de funciones mÃnimas (solo VirtualAlloc and ExitProcess) y empleaba hashing para oscurecer y resolver funciones de la API de Windows durante el tiempo de ejecución, una técnica vista a menudo en cargas útiles de Metasploit.
Notablemente, los atacantes demostraron estrategias avanzadas de persistencia al desplegar múltiples puertas traseras para mantener el acceso continuo. Inmediatamente después de comprometer el sistema, instalaron el software de acceso remoto AnyDesk en el servidor Confluence, guardando el ejecutable en el directorio de instalación y configurándolo para el acceso desatendido con la contraseña «P@ssword1,» permitiendo la reentrada sin acción del usuario.
Para fortalecer su posición, los adversarios crearon una cuenta de administrador local llamada «noname» con la contraseña «Slepoy_123» a través de un script por lotes automatizado (u1.bat). El script utilizó WMIC para identificar usuarios, agregar la cuenta al grupo de administradores y configurar la contraseña para que nunca expire. La cuenta fue creada tres veces durante el ataque, indicando un esfuerzo metódico para asegurar el acceso persistente incluso si se eliminaba una puerta trasera. Además, los piratas informáticos habilitaron RDP alterando configuraciones de registro y ajustando reglas de firewall. Esto les permitió eludir los métodos de autenticación estándar y mantener múltiples rutas de acceso, incluso si la vulnerabilidad original se parchaba eventualmente.
Notablemente, las últimas versiones soportadas de Confluence Data Center y Server no están afectadas por esta vulnerabilidad, ya que fue abordada a través de actualizaciones de versión rutinarias. No obstante, el proveedor recomienda encarecidamente a todos los clientes que actualicen rápidamente a la versión más reciente para proteger sus instancias contra otros problemas no crÃticos destacados en el BoletÃn de Seguridad de enero.
La sofisticación incrementada de los métodos adversarios utilizados en esta campaña, que van desde la explotación de un servidor Confluence sin parchar hasta la implementación de ransomware después de un movimiento lateral sigiloso respaldado por el uso de técnicas avanzadas de evasión de defensa, requiere una ultra-responsividad por parte de los defensores. Las medidas potenciales de mitigación de CVE-2023-22527 incluyen parches oportunos, monitoreo continuo de actividad inusual del sistema y el endurecimiento de herramientas de acceso remoto como AnyDesk para defenderse proactivamente contra ataques similares de alto impacto. La Plataforma SOC Prime cura un conjunto completo de productos respaldado por IA, automatización e inteligencia de amenazas procesable para empoderar a los equipos de seguridad para superar ataques de alto perfil y las amenazas más intrincadas cuando cada segundo cuenta.
