Detecção de Ataque de Ransomware ELPACO-Team: Hackers Explorando Vulnerabilidade no Atlassian Confluence (CVE-2023-22527) para Obter Acesso RDP e Ativar RCE
Índice:
No cenário de ransomware em rápida evolução de hoje, os atores de ameaças estão acelerando suas táticas para obter acesso e implantar cargas úteis com velocidade alarmante. Cada vez mais, os invasores estão aproveitando vulnerabilidades conhecidas como pontos de entrada, como visto em um ataque recente onde adversários exploraram o CVE-2023-22527, uma falha de injeção de modelo de gravidade máxima no Atlassian Confluence, para comprometer um sistema exposto à internet. Apenas 62 horas depois, os adversários executaram a próxima etapa: implantar o ransomware do time ELPACO ransomware, uma variante Mimic, que visava servidores críticos de backup e arquivos através de RDP e compartilhamentos SMB.
Detectar a Exploração do CVE-2023-22527 para Implantar o Ransomware do Time ELPACO
De acordo com a Sophos, o custo médio de recuperação de ransomware disparou para US$ 2,73 milhões em 2024 – um aumento impressionante de 500% em relação ao ano anterior. Este aumento acentuado destaca o impacto financeiro crescente dos ciberataques e a necessidade urgente de estratégias de defesa mais proativas. Para se manter à frente de ameaças como o recente incidente de ransomware do time ELPACO, os defensores cibernéticos precisam de CTI confiável e em tempo hábil e conteúdo de detecção acionável para sempre se manterem um passo à frente dos atacantes.
Registre-se na Plataforma SOC Prime e acesse um conjunto dedicado de regras Sigma que aborda a recente campanha explorando a vulnerabilidade do Atlassian Confluence (CVE-2023-22527) para distribuição do ransomware do time ELPACO. O conteúdo de detecção curado é respaldado por um conjunto completo de produtos para engenharia de detecção com IA, caça automaticamente ameaças, e detecção avançada de ameaças. Basta clicar no botão Explorar Detecções abaixo e imediatamente aprofundar-se em um conjunto de conteúdo relevante.
Além disso, profissionais de segurança podem localizar conteúdo de detecção específico para a exploração do CVE-2023-22527 navegando no Mercado de Detecção de Ameaças usando o respectivo tag CVE ID. Os defensores também podem explorar toda a coleção de regras de detecção para exploração de vulnerabilidades pesquisando com a tag mais ampla “CVE” ou aplicar a tag “Ransomware” para acessar um conjunto de regras de detecção cobrindo ataques de ransomware em todo o mundo.
Todas as regras na Plataforma SOC Prime são compatíveis com várias soluções SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK®. Além disso, cada regra é repleta de metadados detalhados, incluindo referências de inteligência de ameaças , cronogramas de ataques, recomendações de triagem e muito mais.
Além disso, especialistas em segurança podem otimizar a investigação de ameaças usando Uncoder AI – um IDE privado & co-piloto para engenharia de detecção informada por ameaças – agora completamente gratuito e disponível sem limites de token nos recursos de IA. Gere algoritmos de detecção a partir de relatórios brutos de ameaças, permita varreduras rápidas de IOC em consultas otimizadas para desempenho, preveja tags ATT&CK, otimize o código de consulta com dicas de IA e traduza-o para vários idiomas SIEM, EDR, e Data Lake.
Análise do CVE-2023-22527: Ataques pelo Ransomware do Time ELPACO
Os defensores identificaram recentemente uma campanha de ataque sofisticada em que atores de ameaças armaram uma vulnerabilidade conhecida em um servidor Atlassian Confluence exposto à internet sem patches para lançar uma operação de ransomware.
A violação, que ocorreu no início do verão de 2024, envolveu a exploração do CVE-2023-22527, uma vulnerabilidade de injeção de modelo com um escore CVSS de 10,0. A falha afeta versões mais antigas do Confluence Data Center e Server (da 8.0.x à 8.4.x, bem como 8.5.0 a 8.5.3), facilitando RCE e acesso não autorizado. Notavelmente, os invasores aguardaram cerca de 62 horas após o comprometimento inicial antes de implantar o ransomware, indicando uma abordagem deliberada e furtiva.
A cadeia de infecção começou com a exploração do CVE-2023-22527 em um servidor Confluence. A análise do tráfego de rede mostrou a técnica utilizada, com os atacantes inicialmente emitindo um comando “whoami” para testar o acesso antes de entregar cargas mais nocivas. De acordo com a pesquisa do relatório DFIR, uma vez dentro, os adversários executaram repetidamente um conjunto de ações, como implantar cargas do Metasploit , estabelecer conexões C2, e instalar o AnyDesk para manter o acesso persistente. Eles então escalaram privilégios, extraíram credenciais usando ferramentas como Mimikatz, habilitaram o acesso via RDP, e se movimentaram lateralmente pela rede. Nas etapas finais da cadeia de ataque, os atacantes implantaram o ransomware do time ELPACO, uma variante conhecida do ransomware Mimic. Embora os atacantes tenham excluído alguns logs de eventos, não houve evidência de exfiltração significativa de dados durante o ataque.
Um detalhe chave da campanha foi a reutilização de um único endereço IP (45.227.254.124) tanto para a varredura de vulnerabilidades quanto posteriormente servindo como um servidor AnyDesk autogerenciado, apontando para uma infraestrutura maliciosa deliberadamente preparada.
Durante todo o ataque, um executável malicioso foi colocado em um diretório incomum dentro da pasta temporária do perfil NetworkService. Ele tinha importações mínimas de funções (apenas VirtualAlloc and ExitProcess) e empregava hashing para obscurecer e resolver funções da API do Windows durante o tempo de execução, uma técnica frequentemente vista em cargas do Metasploit.
Notavelmente, os atacantes demonstraram estratégias avançadas de persistência ao implantar múltiplas backdoors para manter o acesso contínuo. Imediatamente após comprometer o sistema, eles instalaram o software de acesso remoto AnyDesk no servidor Confluence, salvando o executável no diretório de instalação e configurando-o para acesso sem assistência com a senha “P@ssword1”, permitindo reentrada sem ação do usuário.
Para fortalecer sua posição, os adversários criaram uma conta de administrador local chamada “noname” com a senha “Slepoy_123” através de um script de lote automatizado (u1.bat). O script utilizou WMIC para identificar usuários, adicionar a conta ao grupo de administradores e definir a senha para nunca expirar. A conta foi criada três vezes durante o ataque, indicando um esforço metódico para garantir acesso persistente mesmo se uma backdoor fosse removida. Além disso, os hackers habilitaram o RDP alterando as configurações do registro e ajustando as regras do firewall. Isso lhes permitiu contornar métodos padrão de autenticação e manter múltiplas rotas de acesso, mesmo se a vulnerabilidade original fosse eventualmente corrigida.
Notavelmente, as versões mais recentes suportadas do Confluence Data Center e Server não são impactadas por esta vulnerabilidade, pois ela foi tratada por meio de atualizações de versão de rotina. No entanto, o fornecedor aconselha fortemente todos os clientes a atualizarem prontamente para a versão mais recente para proteger suas instâncias contra outros problemas não críticos destacados no Boletim de Segurança de Janeiro.
A maior sofisticação dos métodos adversários usados nesta campanha, que vão desde a exploração de um servidor Confluence sem patch até a implantação de ransomware após movimentação lateral furtiva respaldada pelo uso de técnicas avançadas de evasão de defesa, exige ultra-responsividade dos defensores. As potenciais medidas de mitigação do CVE-2023-22527 envolvem aplicação de patches em tempo hábil, monitoramento contínuo de atividade incomum do sistema e fortalecimento de ferramentas de acesso remoto como o AnyDesk para defender proativamente contra ataques similares de alto impacto. Plataforma SOC Prime cura um conjunto completo de produtos respaldados por IA, automação e inteligência de ameaças acionável para capacitar as equipes de segurança a superar ataques de alto perfil e as ameaças mais complexas quando cada segundo conta.
