Rilevare le Infezioni da Ransomware Atom Silo
Indice:
Gli attori di ransomware tentano di rimanere all’avanguardia delle tendenze malevole nel loro sforzo di ottenere profitti maggiori. Recentemente, i ricercatori di sicurezza hanno individuato un nuovo attore di minacce che sfrutta una vulnerabilitĂ critica in Atlassian Confluence (CVE-2021-26084) per procedere con infezioni da ransomware. Soprannominata Atom Silo, la gang si affida a CVE-2021-26084 insieme a diverse tecniche di evasione innovative per passare inosservata e riuscire negli attacchi di estorsione.
Ransomware Atom Silo
Secondo l’approfondita indagine di Sophos Labs, Atom Silo ha molto in comune con vari ceppi di ransomware prolifici come LockFile e LockBit. Simile a LockFile che ha sfruttato le vulnerabilitĂ PetitPotam and ProxyShell nei prodotti Microsoft all’inizio di quest’anno, Atom Silo si è basato su una vulnerabilitĂ critica in Atlassian Confluence Server e Data Center (CVE-2021-26084) per l’infezione.
Il ransomware ha sfruttato il CVE-2021-26084 e ha aggiornato la catena di attacco solo tre settimane dopo la scoperta del bug, aumentando le sue possibilitĂ di intrusioni riuscite. Per aggiungere notorietĂ all’attacco, i manutentori di Atom Silo hanno inoltre adottato diverse tecniche innovative per evitare la rilevazione.
Dopo l’intrusione iniziale, gli attori del ransomware hanno sfruttato il bug del Confluence Server (CVE-2021-26084) per creare una backdoor. Questa backdoor iniziale è stata successivamente utilizzata per distribuire e avviare una backdoor piĂą furtiva di seconda fase tramite caricamento DLL laterale. La seconda backdoor ha aiutato gli hacker a eseguire comandi del shell di Windows in remoto tramite Windows Management Interface (WMI) e a spostarsi lateralmente attraverso la rete infetta.
Descritta sopra non è l’unica astuzia applicata dal gruppo Atom Silo nel loro tentativo di evitare la rilevazione. Il collettivo hacker ha anche equipaggiato il payload del ransomware con un driver kernel malevolo in grado di interrompere le protezioni degli endpoint.
VulnerabilitĂ di Confluence (CVE-2021-26084) Sotto Attacco
Il 25 agosto 2021, Atlassian ha rilasciato un avviso di sicurezza urgente per correggere una vulnerabilitĂ critica di esecuzione di codice remoto (RCE) che riguarda il suo Confluence Server e Data Center. Essendo un problema di iniezione OGNL, la falla consente ad attori autenticati (e in alcuni casi non autenticati) di eseguire codice arbitrario su istanze esposte.
Una settimana dopo l’emissione dell’avviso, i ricercatori di sicurezza hanno pubblicato un exploit PHP proof-of-concept (PoC) per questo bug accompagnato da un’analisi tecnica dettagliata. Il PoC ha avviato una valanga di scansioni per i Confluence Server e le istanze del Data Center esposte, con piĂą avversari che utilizzano CVE-2021-26084 per installare crypto miner. Inoltre, alcune settimane dopo la scoperta del bug, le gang di Atom Silo hanno armato la vulnerabilitĂ per attaccare le loro vittime.
Il Comando Cibernetico degli Stati Uniti (USCYBERCOM) ha urgentemente emesso un allerta per sollecitare le aziende statunitensi a risolvere la vulnerabilitĂ critica di Atlassian Confluence sottoposta a massivo sfruttamento. Anche CISA ha sottolineato l’importanza di correggere le istanze esposte il prima possibile.
Rilevazione di Atom Silo
Per rilevare le infezioni di Atom Silo che si basano sul bug RCE di Atlassian Confluence, puoi scaricare un insieme di regole Sigma gratuite rilasciate dal nostro appassionato sviluppatore Threat Bounty Sittikorn Sangrattanapitak. Inoltre, puoi controllare le nostre linee guida del settore per saperne di piĂą sulle migliori pratiche per difendersi dal ceppo di ransomware.
Ransomware Atom Silo Usa la VulnerabilitĂ OGNL di Confluence CVE-2021-26084 (via proxy)
La regola ha traduzioni per le seguenti piattaforme di ANALISI DELLA SICUREZZA SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
La regola è mappata alla metodologia MITRE ATT&CK affrontando le tattiche di Impatto, Persistenza, Escalation dei Privilegi ed Evasione della Difesa. In particolare, il rilevamento affronta le tecniche di Dati Criptati per Impatto (t1486) e di Sfruttamento delle Applicazioni Esposte (t1190) così come la sotto-tecnica DLL Side-Loading (T1574.002) della tecnica Hijack Execution Flow (t1574).
Ransomware Atom Silo Usa RCE di Confluence e DLL Side-Loading (via file_event)
La regola ha traduzioni per le seguenti piattaforme di ANALISI DELLA SICUREZZA SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, SentinelOne, Qualis.
La regola è mappata alla metodologia MITRE ATT&CK affrontando le tattiche di Impatto, Persistenza, Escalation dei Privilegi ed Evasione della Difesa. In particolare, il rilevamento affronta la tecnica di Dati Criptati per Impatto (t1486) così come la sotto-tecnica DLL Side-Loading (T1574.002) della tecnica Hijack Execution Flow (t1574).
Per rilevare e mitigare l’attivitĂ malevola associata alla vulnerabilitĂ CVE-2021-26084 nel Atlassian Confluence Server e Data Center, controlla la lista delle rilevazioni giĂ disponibile nella piattaforma SOC Prime.
Registrati alla piattaforma SOC Prime per facilitare, velocizzare e semplificare la rilevazione delle minacce. Caccia istantaneamente le ultime minacce tra oltre 20 tecnologie SIEM & XDR supportate, automatizzare l’indagine delle minacce e ricevere feedback e valutazioni da una comunitĂ di oltre 20.000 professionisti della sicurezza per potenziare le tue operazioni di sicurezza. Sei desideroso di creare i tuoi contenuti di rilevamento? Partecipa al nostro programma Threat Bounty, condividi le tue regole Sigma e Yara nel repository del Marketplace di Rilevazione delle Minacce, e ottieni ricompense ricorrenti per il tuo contributo individuale!
