Rilevare le Infezioni da Ransomware Atom Silo
Indice:
Gli attori di ransomware tentano di rimanere all’avanguardia delle tendenze malevole nel loro sforzo di ottenere profitti maggiori. Recentemente, i ricercatori di sicurezza hanno individuato un nuovo attore di minacce che sfrutta una vulnerabilità critica in Atlassian Confluence (CVE-2021-26084) per procedere con infezioni da ransomware. Soprannominata Atom Silo, la gang si affida a CVE-2021-26084 insieme a diverse tecniche di evasione innovative per passare inosservata e riuscire negli attacchi di estorsione.
Ransomware Atom Silo
Secondo l’approfondita indagine di Sophos Labs, Atom Silo ha molto in comune con vari ceppi di ransomware prolifici come LockFile e LockBit. Simile a LockFile che ha sfruttato le vulnerabilità PetitPotam and ProxyShell nei prodotti Microsoft all’inizio di quest’anno, Atom Silo si è basato su una vulnerabilità critica in Atlassian Confluence Server e Data Center (CVE-2021-26084) per l’infezione.
Il ransomware ha sfruttato il CVE-2021-26084 e ha aggiornato la catena di attacco solo tre settimane dopo la scoperta del bug, aumentando le sue possibilità di intrusioni riuscite. Per aggiungere notorietà all’attacco, i manutentori di Atom Silo hanno inoltre adottato diverse tecniche innovative per evitare la rilevazione.
Dopo l’intrusione iniziale, gli attori del ransomware hanno sfruttato il bug del Confluence Server (CVE-2021-26084) per creare una backdoor. Questa backdoor iniziale è stata successivamente utilizzata per distribuire e avviare una backdoor più furtiva di seconda fase tramite caricamento DLL laterale. La seconda backdoor ha aiutato gli hacker a eseguire comandi del shell di Windows in remoto tramite Windows Management Interface (WMI) e a spostarsi lateralmente attraverso la rete infetta.
Descritta sopra non è l’unica astuzia applicata dal gruppo Atom Silo nel loro tentativo di evitare la rilevazione. Il collettivo hacker ha anche equipaggiato il payload del ransomware con un driver kernel malevolo in grado di interrompere le protezioni degli endpoint.
Vulnerabilità di Confluence (CVE-2021-26084) Sotto Attacco
Il 25 agosto 2021, Atlassian ha rilasciato un avviso di sicurezza urgente per correggere una vulnerabilità critica di esecuzione di codice remoto (RCE) che riguarda il suo Confluence Server e Data Center. Essendo un problema di iniezione OGNL, la falla consente ad attori autenticati (e in alcuni casi non autenticati) di eseguire codice arbitrario su istanze esposte.
Una settimana dopo l’emissione dell’avviso, i ricercatori di sicurezza hanno pubblicato un exploit PHP proof-of-concept (PoC) per questo bug accompagnato da un’analisi tecnica dettagliata. Il PoC ha avviato una valanga di scansioni per i Confluence Server e le istanze del Data Center esposte, con più avversari che utilizzano CVE-2021-26084 per installare crypto miner. Inoltre, alcune settimane dopo la scoperta del bug, le gang di Atom Silo hanno armato la vulnerabilità per attaccare le loro vittime.
Il Comando Cibernetico degli Stati Uniti (USCYBERCOM) ha urgentemente emesso un allerta per sollecitare le aziende statunitensi a risolvere la vulnerabilità critica di Atlassian Confluence sottoposta a massivo sfruttamento. Anche CISA ha sottolineato l’importanza di correggere le istanze esposte il prima possibile.
Rilevazione di Atom Silo
Per rilevare le infezioni di Atom Silo che si basano sul bug RCE di Atlassian Confluence, puoi scaricare un insieme di regole Sigma gratuite rilasciate dal nostro appassionato sviluppatore Threat Bounty Sittikorn Sangrattanapitak. Inoltre, puoi controllare le nostre linee guida del settore per saperne di più sulle migliori pratiche per difendersi dal ceppo di ransomware.
Ransomware Atom Silo Usa la Vulnerabilità OGNL di Confluence CVE-2021-26084 (via proxy)
La regola ha traduzioni per le seguenti piattaforme di ANALISI DELLA SICUREZZA SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
La regola è mappata alla metodologia MITRE ATT&CK affrontando le tattiche di Impatto, Persistenza, Escalation dei Privilegi ed Evasione della Difesa. In particolare, il rilevamento affronta le tecniche di Dati Criptati per Impatto (t1486) e di Sfruttamento delle Applicazioni Esposte (t1190) così come la sotto-tecnica DLL Side-Loading (T1574.002) della tecnica Hijack Execution Flow (t1574).
Ransomware Atom Silo Usa RCE di Confluence e DLL Side-Loading (via file_event)
La regola ha traduzioni per le seguenti piattaforme di ANALISI DELLA SICUREZZA SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, SentinelOne, Qualis.
La regola è mappata alla metodologia MITRE ATT&CK affrontando le tattiche di Impatto, Persistenza, Escalation dei Privilegi ed Evasione della Difesa. In particolare, il rilevamento affronta la tecnica di Dati Criptati per Impatto (t1486) così come la sotto-tecnica DLL Side-Loading (T1574.002) della tecnica Hijack Execution Flow (t1574).
Per rilevare e mitigare l’attività malevola associata alla vulnerabilità CVE-2021-26084 nel Atlassian Confluence Server e Data Center, controlla la lista delle rilevazioni già disponibile nella piattaforma SOC Prime.
Registrati alla piattaforma SOC Prime per facilitare, velocizzare e semplificare la rilevazione delle minacce. Caccia istantaneamente le ultime minacce tra oltre 20 tecnologie SIEM & XDR supportate, automatizzare l’indagine delle minacce e ricevere feedback e valutazioni da una comunità di oltre 20.000 professionisti della sicurezza per potenziare le tue operazioni di sicurezza. Sei desideroso di creare i tuoi contenuti di rilevamento? Partecipa al nostro programma Threat Bounty, condividi le tue regole Sigma e Yara nel repository del Marketplace di Rilevazione delle Minacce, e ottieni ricompense ricorrenti per il tuo contributo individuale!
