Detectando Infecções por Ransomware Atom Silo

Os atores de ransomware tentam se manter na vanguarda das tendências maliciosas em sua busca por maiores lucros. Recentemente, pesquisadores de segurança identificaram um novo ator de ameaça que explora uma vulnerabilidade crítica no Atlassian Confluence (CVE-2021-26084) para prosseguir com infecções por ransomware. Apelidado Atom Silo, o grupo confia no CVE-2021-26084 juntamente com várias técnicas novas de evasão para passar despercebido e ter sucesso com os ataques de extorsão.

Ransomware Atom Silo

De acordo com a investigação aprofundada da Sophos Labs, o Atom Silo tem muito em comum com cepas de ransomware prolíficas como LockFile e LockBit. Semelhante ao LockFile que explorou as vulnerabilidades PetitPotam and ProxyShell nos produtos da Microsoft no início deste ano, o Atom Silo confiou em uma vulnerabilidade crítica no Atlassian Confluence Server e Data Center (CVE-2021-26084) para infecção.

O ransomware aproveitou o CVE-2021-26084 e atualizou a cadeia de ataque apenas três semanas após a descoberta do bug, aumentando suas chances de intrusões bem-sucedidas. Para aumentar a notoriedade do ataque, os mantenedores do Atom Silo também adotaram várias técnicas inovadoras para evadir a detecção.

Após a intrusão inicial, os atores do ransomware exploraram o bug do Confluence Server (CVE-2021-26084) para criar uma porta dos fundos. Essa porta dos fundos inicial foi usada para soltar e iniciar uma segunda porta dos fundos mais furtiva via carregamento lateral de DLL. A segunda porta dos fundos ajudou os hackers a executar remotamente comandos shell do Windows por meio da Interface de Gerenciamento do Windows (WMI) e a mover-se lateralmente pela rede infectada.

Descrito acima não é o único truque aplicado pelo grupo Atom Silo em sua tentativa de evadir a detecção. O coletivo de hackers também equipou a carga útil do ransomware com um driver de kernel malicioso capaz de interromper as proteções do endpoint.

Vulnerabilidade no Confluence (CVE-2021-26084) Sob Ataque

Em 25 de agosto de 2021, a Atlassian lançou um aviso de segurança urgente para corrigir uma vulnerabilidade crítica de execução remota de código (RCE) que afeta seu Confluence Server e Data Center. Sendo um problema de injeção OGNL, a falha permite que atores autenticados (e em alguns casos não autenticados) executem código arbitrário em instâncias expostas.

Uma semana após o aviso ser emitido, pesquisadores de segurança publicaram uma exploração de prova de conceito (PoC) em PHP para este bug acompanhada de uma análise técnica detalhada. A PoC desencadeou uma avalanche de varreduras para os servidores Confluence e instâncias de Data Center expostas, com múltiplos adversários usando o CVE-2021-26084 para instalar mineradores de criptomoedas. Além disso, várias semanas após a descoberta do bug, gangues do Atom Silo usaram a vulnerabilidade como arma para atacar suas vítimas.

O Comando Cibernético dos EUA (USCYBERCOM) emitiu urgentemente um alerta para instar as empresas dos EUA a resolverem a vulnerabilidade crítica do Atlassian Confluence sob exploração maciça. A CISA também enfatizou a importância de corrigir as instâncias expostas o mais rápido possível.

Detecção de Atom Silo

Para detectar infecções de Atom Silo que confiam na vulnerabilidade RCE do Atlassian Confluence, você pode baixar um conjunto de regras Sigma gratuitas lançadas por nosso desenvolvedor ávido por Threat Bounty Sittikorn Sangrattanapitak. Além disso, você pode verificar nossas diretrizes do setor para saber mais sobre as melhores práticas para se defender contra a cepa de ransomware.

Ransomware Atom Silo Usa Vulnerabilidade OGNL do Confluence CVE-2021-26084 (via proxy)

A regra tem traduções para as seguintes plataformas de ANÁLISE DE SEGURANÇA SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

A regra é mapeada para a metodologia MITRE ATT&CK, abordando táticas de Impacto, Persistência, Escalada de Privilégios e Evasão de Defesa. Em particular, a detecção aborda as técnicas de Dados Criptografados para Impacto (t1486) e Exploração de Aplicativo Exposto Publicamente (t1190), bem como a sub-técnica de Carregamento Lateral de DLL (T1574.002) da técnica de Desvio de Fluxo de Execução (t1574).

Ransomware Atom Silo Usa RCE do Confluence e Carregamento Lateral de DLL (via file_event)

A regra tem traduções para as seguintes plataformas de ANÁLISE DE SEGURANÇA SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, SentinelOne, Qualis.

A regra é mapeada para a metodologia MITRE ATT&CK, abordando táticas de Impacto, Persistência, Escalada de Privilégios e Evasão de Defesa. Em particular, a detecção aborda a técnica de Dados Criptografados para Impacto (t1486), bem como a sub-técnica de Carregamento Lateral de DLL (T1574.002) da técnica de Desvio de Fluxo de Execução (t1574).

Para detectar e mitigar a atividade maliciosa associada à vulnerabilidade CVE-2021-26084 no Atlassian Confluence Server e Data Center, verifique a lista de detecções já disponível na plataforma SOC Prime.

Registre-se na plataforma SOC Prime para facilitar, agilizar e simplificar a detecção de ameaças. Cace instantaneamente as ameaças mais recentes dentro de 20+ tecnologias SIEM & XDR suportadas, automatize a investigação de ameaças e obtenha feedback e validação por uma comunidade de mais de 20.000 profissionais de segurança para impulsionar suas operações de segurança. Ansioso para criar seu próprio conteúdo de detecção? Junte-se ao nosso programa Threat Bounty, compartilhe suas regras Sigma e Yara no repositório do Threat Detection Marketplace e obtenha recompensas recorrentes por sua contribuição individual!

Ir para Plataforma Junte-se ao Threat Bounty