Détecter les Infections par le Ransomware Atom Silo

[post-views]
octobre 13, 2021 · 5 min de lecture
Détecter les Infections par le Ransomware Atom Silo

Les acteurs des ransomwares tentent de rester à l’avant-garde des tendances malveillantes dans leur quête de profits plus importants. Récemment, des chercheurs en sécurité ont repéré une nouvelle menace utilisant une vulnérabilité critique dans Atlassian Confluence (CVE-2021-26084) pour procéder à des infections par ransomware. Baptisé Atom Silo, le gang s’appuie sur CVE-2021-26084, ainsi que sur plusieurs techniques d’évasion innovantes, pour échapper à la détection et réussir ses attaques par extorsion.

Ransomware Atom Silo

Selon l’ enquête approfondie de Sophos Labs, Atom Silo a beaucoup de points communs avec des souches de ransomware aussi prolifiques que LockFile et LockBit. Semblable à LockFile, qui a exploité les failles PetitPotam and ProxyShell dans les produits Microsoft plus tôt cette année, Atom Silo s’est appuyé sur une vulnérabilité critique dans Atlassian Confluence Server et Data Center (CVE-2021-26084) pour l’infection.

Le ransomware a exploité la CVE-2021-26084 et mis à jour la chaîne d’attaque seulement trois semaines après la découverte de la faille, augmentant ses chances d’intrusions réussies. Pour ajouter à la notoriété de l’attaque, les mainteneurs d’Atom Silo ont également adopté plusieurs techniques innovantes pour échapper à la détection.

Après l’intrusion initiale, les acteurs du ransomware ont exploité le bug de Confluence Server (CVE-2021-26084) pour créer une porte dérobée. Cette première porte dérobée a ensuite été utilisée pour déposer et initier une porte dérobée de deuxième étape plus discrète via le chargement latéral de DLL. La deuxième porte dérobée a aidé les pirates à exécuter des commandes shell Windows à distance via l’interface de gestion Windows (WMI) et à se déplacer latéralement à travers le réseau infecté.

Ce qui est décrit ci-dessus n’est pas le seul stratagème utilisé par le groupe Atom Silo dans leur tentative d’évasion de la détection. Le collectif de hackers a également équipé la charge utile du ransomware d’un pilote de noyau malveillant capable de perturber les protections des points de terminaison.

Vulnérabilité Confluence (CVE-2021-26084) Sous Attaque

Le 25 août 2021, Atlassian a publié un avis de sécurité urgent pour corriger une vulnérabilité critique d’exécution de code à distance (RCE) affectant son Confluence Server et Data Center. Étant une faille d’injection OGNL, elle permet à des acteurs authentifiés (et dans certains cas non authentifiés) d’exécuter du code arbitraire sur des instances exposées.

Une semaine après la publication de l’avis, des chercheurs en sécurité ont publié un exploit proof-of-concept (PoC) PHP pour ce bug accompagné d’une analyse technique détaillée. Le PoC a déclenché une avalanche de scans pour les serveurs Confluence et instances de Data Center exposés, avec de nombreux adversaires utilisant CVE-2021-26084 pour installer des mineurs crypto. De plus, plusieurs semaines après la découverte de la faille, les gangs d’Atom Silo ont militarisé la vulnérabilité pour attaquer leurs victimes.

Le Cyber Command des États-Unis (USCYBERCOM) a urgemment émis une alerte pour inciter les entreprises américaines à traiter la vulnérabilité critique d’Atlassian Confluence sous exploitation massive. Le CISA a également souligné l’importance de corriger les instances exposées dès que possible.

Détection Atom Silo

Pour détecter les infections Atom Silo reposant sur le bug RCE d’Atlassian Confluence, vous pouvez télécharger un ensemble de règles Sigma gratuites publiées par notre développeur Threat Bounty Sittikorn Sangrattanapitak. De plus, vous pouvez consulter nos directives de l’industrie pour en savoir plus sur les meilleures pratiques pour se défendre contre cette souche de ransomware.

Le Ransomware Atom Silo Utilise la Vulnérabilité OGNL de Confluence CVE-2021-26084 (via proxy)

La règle dispose de traductions pour les plateformes suivantes d’ANALYSE DE SÉCURITÉ SIEM : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

La règle est cartographiée à la méthodologie MITRE ATT&CK abordant les tactiques d’Impact, de Persistance, d’Escalade de Privilège et d’Évasion de Défense. En particulier, la détection traite les techniques de Données Chiffrées pour l’Impact (t1486) et d’Exploitation d’Application Publique-Facée (t1190), ainsi que la sous-technique de Chargement Latéral de DLL (T1574.002) de la technique de détournement de Flux d’Exécution (t1574).

Le Ransomware Atom Silo Utilise le RCE Confluence et le Chargement Latéral de DLL (via file_event)

La règle dispose de traductions pour les plateformes suivantes d’ANALYSE DE SÉCURITÉ SIEM : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, SentinelOne, Qualis.

La règle est cartographiée à la méthodologie MITRE ATT&CK abordant les tactiques d’Impact, de Persistance, d’Escalade de Privilège et d’Évasion de Défense. En particulier, la détection traite la technique de Données Chiffrées pour l’Impact (t1486), ainsi que la sous-technique de Chargement Latéral de DLL (T1574.002) de la technique de détournement de Flux d’Exécution (t1574).

Pour détecter et atténuer l’activité malveillante associée à la vulnérabilité CVE-2021-26084 dans Atlassian Confluence Server et Data Center, consultez la liste des détections déjà disponibles sur la plateforme SOC Prime.

Inscrivez-vous sur la plateforme SOC Prime pour faciliter, accélérer et simplifier la détection des menaces. Recherchez instantanément les dernières menaces dans plus de 20 technologies SIEM & XDR prises en charge, automatisez l’enquête sur les menaces et obtenez des commentaires et une validation par une communauté de plus de 20 000 professionnels de la sécurité pour renforcer vos opérations de sécurité. Envie de créer votre propre contenu de détection ? Rejoignez notre programme Threat Bounty, partagez vos règles Sigma et Yara dans le référentiel du marché de la détection des menaces, et recevez des récompenses récurrentes pour votre contribution individuelle !

Accéder à la Plateforme Rejoindre Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom 6 min de lecture Dernières Menaces Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom by Daryna Olyniychuk Détection du Ransomware Interlock : Alerte Conjointe du FBI et de la CISA sur les Attaques Massives via la Technique ClickFix 4 min de lecture Dernières Menaces Détection du Ransomware Interlock : Alerte Conjointe du FBI et de la CISA sur les Attaques Massives via la Technique ClickFix by Veronika Telychko Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active 4 min de lecture Dernières Menaces Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active by Daryna Olyniychuk
Toutes les actualités