Rilevamento dell’Attacco Ransomware del Team ELPACO: Gli Hacker Sfruttano la Vulnerabilità di Atlassian Confluence (CVE-2023-22527) per Ottenere Accesso RDP ed Abilitare RCE

[post-views]
Maggio 20, 2025 · 7 min di lettura
Rilevamento dell’Attacco Ransomware del Team ELPACO: Gli Hacker Sfruttano la Vulnerabilità di Atlassian Confluence (CVE-2023-22527) per Ottenere Accesso RDP ed Abilitare RCE

Nell’attuale panorama in rapida evoluzione del ransomware, gli attori delle minacce stanno accelerando le loro tattiche per ottenere accesso e distribuire payloads con allarmante velocità. Sempre più spesso, gli attaccanti sfruttano vulnerabilità note come punti d’ingresso, come visto in un attacco recente dove gli avversari hanno sfruttato CVE-2023-22527, un difetto di injection di template di massima gravità in Atlassian Confluence, per compromettere un sistema esposto a Internet. Appena 62 ore dopo, gli avversari hanno eseguito la fase successiva: il dispiegamento di ransomware ELPACO-team, una variante di Mimic, che ha preso di mira server di backup e file critici attraverso condivisioni RDP e SMB.

Rileva l’Exploitation di CVE-2023-22527 per Dispensare ELPACO-Team Ransomware

Secondo Sophos, il costo medio di recupero da ransomware è salito a 2,73 milioni di dollari nel 2024, un aumento spaventoso del 500% rispetto all’anno precedente. Questo forte aumento evidenzia il crescente impatto finanziario degli attacchi informatici e l’urgente necessità di strategie difensive più proattive. Per stare al passo con le minacce come il recente incidente di ransomware ELPACO-team, i difensori informatici hanno bisogno di CTI affidabili e tempestivi e contenuti di rilevamento azionabili per rimanere sempre un passo avanti agli attaccanti.

Registrati per la Piattaforma SOC Prime e accedi a un set dedicato di regole Sigma che affrontano la recente campagna che sfrutta la vulnerabilità di Atlassian Confluence (CVE-2023-22527) per la distribuzione del ransomware ELPACO-team. Il contenuto di rilevamento curato è supportato da una suite completa di prodotti per l’ingegneria di rilevamento potenziata dall’IA, la caccia alle minacce automatizzata e il rilevamento avanzato delle minacce. Basta premere il pulsante Esplora Rilevamenti qui sotto e approfondire immediatamente una pila di contenuti rilevanti.

Esplora Rilevamenti

Inoltre, i professionisti della sicurezza possono individuare contenuti di rilevamento specifici per lo sfruttamento di CVE-2023-22527 esplorando il Mercato della Rilevazione delle Minacce usando il tag CVE ID. I difensori possono anche esplorare l’intera collezione di regole di rilevamento per lo sfruttamento delle vulnerabilità cercando con il più ampio tag “CVE” o applicare il tag “Ransomware” per accedere a un set di regole di rilevamento che coprono attacchi ransomware a livello mondiale.

Tutte le regole nella Piattaforma SOC Prime sono compatibili con molteplici soluzioni SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK®. Inoltre, ogni regola è arricchita con metadati dettagliati, inclusi riferimenti di intelligence sulle minacce , cronologia degli attacchi, raccomandazioni per la triage e altro.

Oltre a ciò, gli esperti di sicurezza possono semplificare l’investigazione delle minacce utilizzando Uncoder AI – un IDE privato e co-pilot per l’ingegneria del rilevamento informata dalle minacce – ora completamente gratuito e disponibile senza limiti di token sulle funzionalità AI. Genera algoritmi di rilevamento da report di minacce grezzi, abilita rapidi sweep di IOC in query ottimizzate per le prestazioni, predici i tag ATT&CK, ottimizza il codice delle query con suggerimenti AI e traduco tra molteplici linguaggi SIEM, EDR, e Data Lake.

Analisi di CVE-2023-22527: Attacchi da Ransomware ELPACO-Team

I difensori hanno recentemente identificato una campagna attacco sofisticata in cui gli attori delle minacce hanno armato una vulnerabilità nota in un server Atlassian Confluence esposto a Internet e non patchato per lanciare un’operazione di ransomware.

La violazione, avvenuta all’inizio dell’estate del 2024, ha coinvolto lo sfruttamento di CVE-2023-22527, una vulnerabilità di injection di template con un punteggio CVSS che raggiunge 10.0. Il difetto riguarda versioni più vecchie di Confluence Data Center e Server (dalla 8.0.x alla 8.4.x, così come dalla 8.5.0 alla 8.5.3), facilitando RCE e accesso non autorizzato. In particolare, gli attaccanti hanno aspettato circa 62 ore dopo il compromesso iniziale prima di distribuire il ransomware, indicando un approccio deliberato e furtivo.

La catena di infezione è iniziata con lo sfruttamento di CVE-2023-22527 su un server Confluence. L’analisi del traffico di rete ha mostrato la tecnica utilizzata, con gli attaccanti che inizialmente hanno eseguito un comando “whoami” per testare l’accesso prima di consegnare payload più dannosi. Secondo la ricerca DFIR Report, una volta all’interno, gli avversari hanno ripetutamente eseguito una serie di azioni, come distribuire payload Metasploit , stabilire connessioni C2 e installare AnyDesk per mantenere un accesso persistente. Hanno quindi scalato i privilegi, estratto credenziali utilizzando strumenti come Mimikatz, abilitato l’accesso RDP, e si sono mossi lateralmente attraverso la rete. Nelle fasi finali della catena di attacco, gli attaccanti hanno distribuito ransomware ELPACO-team, una variante conosciuta di Mimic ransomware. Sebbene gli attaccanti abbiano cancellato alcuni log di eventi, non c’è stata evidenza di una significativa esfiltrazione di dati durante l’attacco.

Un dettaglio chiave della campagna è stato il riutilizzo di un singolo indirizzo IP (45.227.254.124) sia per la scansione delle vulnerabilità sia successivamente come server AnyDesk auto-ospitato, indicando un’infrastruttura malevola deliberatamente preparata.

Durante tutto l’attacco, un eseguibile malevolo è stato collocato in una directory insolita all’interno della cartella temporanea del profilo NetworkService. Aveva importazioni di funzione minima (solo VirtualAlloc and ExitProcess) e impiegava hashing per offuscare e risolvere le funzioni API di Windows durante l’esecuzione, una tecnica spesso vista nei payloads di Metasploit.

Degno di nota, gli attaccanti hanno dimostrato strategie avanzate di persistenza distribuendo backdoor multiple per mantenere l’accesso continuativo. Subito dopo aver compromesso il sistema, hanno installato il software di accesso remoto AnyDesk sul server Confluence, salvando l’eseguibile nella directory di installazione e impostandolo per l’accesso non sorvegliato con la password “P@ssword1”, consentendo la rientro senza azioni utente.

Per rafforzare la loro posizione, gli avversari hanno creato un account admin locale chiamato “noname” con la password “Slepoy_123” tramite uno script batch automatizzato (u1.bat). Lo script ha sfruttato WMIC per identificare gli utenti, aggiungere l’account al gruppo amministratori, e impostare la password per non scadere mai. L’account è stato creato tre volte durante l’attacco, indicando uno sforzo metodico per garantire l’accesso persistente anche se uno dei backdoor venisse rimosso. Inoltre, gli hacker hanno abilitato RDP modificando le impostazioni di registro e regolando le regole del firewall. Questo ha permesso loro di bypassare i metodi di autenticazione standard e mantenere più percorsi di accesso anche se la vulnerabilità originale venisse infine patchata.

Notevolmente, le ultime versioni supportate di Confluence Data Center e Server non sono influenzate da questa vulnerabilità, poiché è stata affrontata attraverso aggiornamenti di versione di routine. Tuttavia, il fornitore consiglia fortemente a tutti i clienti di aggiornare prontamente all’ultima release per proteggere le loro istanze contro altri problemi non critici evidenziati nel Bollettino di Sicurezza di gennaio.

L’aumento della sofisticazione dei metodi degli avversari utilizzati in questa campagna, dal sfruttamento di un server Confluence non patchato al dispiegamento di ransomware dopo un movimento laterale furtivo supportato dall’uso di tecniche avanzate di evasione difensiva, richiede un’ultra-responsività dai difensori. Le potenziali misure di mitigazione per CVE-2023-22527 includono patching tempestivo, monitoraggio continuo per attività anomale del sistema, e il rafforzamento degli strumenti di accesso remoto come AnyDesk per difendersi proattivamente contro attacchi simili ad alto impatto. Piattaforma SOC Prime cura una suite completa di prodotti supportata da AI, automazione e intelligence sulle minacce azionabile per potenziare i team di sicurezza nel superare attacchi di alto profilo e le minacce più complesse quando ogni secondo conta.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Blog, Ultime Minacce — 7 min di lettura
Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Veronika Telychko
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Blog, Ultime Minacce — 6 min di lettura
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Veronika Telychko
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Blog, Ultime Minacce — 5 min di lettura
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Veronika Telychko