Sicherheitsforscher der Cado Security Labs haben eine neue Variante der Cerber-Ransomware entdeckt, die Linux-Systeme ins Visier nimmt und dabei eine kürzlich entdeckte Schwachstelle in Atlassian Confluence ausnutzt.

Die Sicherheitslücke, bekannt unter der Bezeichnung CVE-2023-22518, ermöglicht es Angreifern, die Confluence-Anwendung zurückzusetzen und ein neues Administratorkonto zu erstellen. Diese Schwachstelle wurde zu Beginn des Jahres aufgedeckt und bereits gepatcht, zieht jedoch weiterhin Cyberkriminelle an, die Confluence-Server kompromittieren wollen.

Technische Details der Attacke:

Die Cerber-Ransomware für Linux ist ein hochgradig verschleiertes C++-Programm, das als 64-Bit ELF (Executable and Linkable Format) Binary kompiliert und mit UPX gepackt wurde, um herkömmliche Malware-Scans und Analysen zu umgehen.

Nachdem der Angreifer über die CVE-2023-22518-Schwachstelle Zugang zum Confluence-Server erlangt hat, nutzt er das neu erstellte Administratorkonto, um ein bösartiges Webshell-Plugin namens „Effluence“ hochzuladen und zu installieren. Diese Webshell ermöglicht es, beliebige Befehle auf dem kompromittierten Host auszuführen.

Der primäre Cerber-Schadcode wird anschließend über die Webshell heruntergeladen und ausgeführt. Dieser initiale Payload richtet die Umgebung ein und lädt weitere Komponenten herunter, darunter einen Log-Checker und den finalen Verschlüsselungs-Code.

Der Log-Checker, bekannt als „agttydck“, ist ein einfaches C++-Programm, das versucht, eine „Erfolg“-Nachricht in eine Datei zu schreiben. Dies dient wahrscheinlich der Überprüfung der erforderlichen Berechtigungen und der Sandbox-Erkennung.

Der finale Verschlüsselungs-Code „agttydcb“ bildet das Herzstück der Ransomware. Er verschlüsselt systematisch Dateien im Dateisystem, überschreibt den ursprünglichen Inhalt mit den verschlüsselten Daten und fügt die Endung „.L0CK3D“ hinzu. In jedem Verzeichnis wird zudem eine Lösegeldforderung hinterlassen, die zur Zahlung für die Entschlüsselung der Dateien auffordert.

Die Ausnutzung der Atlassian Confluence-Schwachstelle durch die Cerber Linux-Ransomware unterstreicht die Bedeutung zeitnaher Patches und der Wachsamkeit bei der Sicherung kritischer Unternehmensanwendungen. Da Cyberkriminelle weiterhin Schwachstellen in beliebter Software ins Visier nehmen, müssen Organisationen proaktiv in ihren Sicherheitsmaßnahmen bleiben, um sich gegen solch ausgeklügelte Angriffe zu schützen.