“Годзилла” в тени: невидимый ящер проникает в сердце Atlassian

Исследователи Trend Micro зафиксировалиэксплуатацию уязвимости CVE-2023-22527 , которая используется для компрометации серверов Atlassian посредством установки бэкдора Godzilla.

Ошибка с оценкой CVSS 10.0, обнаруженная в продуктах Confluence Data Center и Confluence Server, позволяет злоумышленникам выполнять произвольный код на уязвимых серверах, что может привести к компрометации всей системы. Несмотря на то, что уязвимость уже устранена, она также используется для установки майнеров.

При исследовании атаки было выявлено, что злоумышленники загружают на сервер Atlassian вредоносную программу, которая затем загружает веб-шелл Godzilla.Веб-шелл был разработан китайским пользователем под псевдонимом “BeichenDream” и предназначен для обхода традиционных средств защиты. Основное преимущество Godzilla заключается в использовании AES шифрования, что значительно затрудняет обнаружение.

Атака начинается с использования уязвимости CVE-2023-22527, через которую злоумышленники выполняют вредоносный код. После первоначальной загрузки вредоносного кода начинается выполнение сложной многоэтапной цепочки атак, включающей инъекцию специального кода в оперативную память сервера. Код позволяет хакерам внедрять собственные классы и методы, обеспечивая постоянный доступ к зараженному серверу.

Одной из особенностей атаки является использование техник Fileless malware, когда вредоносный код выполняется исключительно в оперативной памяти, что делает обнаружение и устранение особенно сложным. Такая атака может остаться незамеченной, если организации полагаются на устаревшие методы защиты, включая антивирусы, работающие на основе сигнатур.

Специалисты Trend Micro подчёркивают, что пользователи Atlassian Confluence должны немедленно применить исправления, чтобы предотвратить возможные атаки. Для этого важно не только регулярно обновлять ПО, но и использовать современные средства защиты, способные обнаруживать и предотвращать подобные атаки.

Веб-оболочка Godzilla ранее уже была замечена в атаках. Например, во время эксплуатации уязвимости в Apache ActiveMQ. Godzilla позволяла получить полный контроль над целевым хостом, облегчая выполнение произвольных команд оболочки, просмотр сетевой информации и выполнение операций по управлению файлами.

Public Release.