Cado Security Labs ha recentemente rilevato attacchi del ransomware Cerber, particolarmente pericoloso per i server che eseguono l’applicazione Confluence. Questi attacchi sfruttano la vulnerabilità CVE-2023-22518, mirando sia a varianti Windows che Linux, sebbene quest’ultima sia meno documentata.
Analisi delle minacce e impatto
L’attacco inizia con l’exploit di CVE-2023-22518, che permette agli aggressori di resettare l’applicazione Confluence e creare un nuovo account amministratore attraverso un endpoint di configurazione non protetto. Una volta ottenuto l’accesso, gli attaccanti possono eseguire codici arbitrari tramite l’installazione di un modulo malevolo, come il web shell Effluence, direttamente dall’area amministrativa. Questo consente agli attaccanti di eseguire comandi arbitrari sul server ospitante.
Il payload principale di Cerber, scritto in C++ e fortemente offuscato, è impacchettato con UPX per eludere i rilevamenti del malware. Questo payload agisce come un ponte per scaricare e installare ulteriori payload dannosi, comunicando con un server di comando e controllo ora non più attivo per ottenere e decodificare i file necessari per proseguire l’attacco.
Il payload secondario, noto come agttydck, verifica i permessi del sistema tentando di scrivere un file log e, se riesce, prosegue con l’esecuzione del ransomware. Il payload finale, agttydcb, è responsabile della cifratura dei file. Cerca di crittografare tutti i file nei directory specificati, soprascrivendo i dati originali e rendendo i file inaccessibili senza la chiave di decifrazione, con l’obiettivo di estorcere un riscatto per il loro recupero.
