黑客利用 Atlassian Confluence 漏洞部署 Ljl 后门进行间谍活动

据称，威胁参与者“极有可能”利用过时的 Atlassian Confluence 服务器中的安全漏洞，针对研究和技术服务领域的一个未具名组织部署了一个前所未有的后门。

这次攻击在 5 月底持续了 7 天，被网络安全公司 Deepwatch 追踪为TAC-040的威胁活动集群。

“证据表明，攻击者使用 Atlassian 的 Confluence 目录中的 tomcat9.exe 父进程执行了恶意命令，”该公司表示。“在最初的妥协之后，威胁参与者运行了各种命令来枚举本地系统、网络和 Active Directory 环境。”

疑似被利用的 Atlassian 漏洞是CVE-2022-26134，这是一种对象图导航语言 (OGNL) 注入漏洞，它为在 Confluence 服务器或数据中心实例上执行任意代码铺平了道路。

据报道，在现实世界的攻击中被积极利用，这家澳大利亚公司于 2022 年 6 月 4 日解决了这个问题。

但鉴于没有取证工具，Deepwatch 推测该漏洞可能需要利用 Spring4Shell 漏洞 ( CVE-2022-22965 ) 来获得对 Confluence Web 应用程序的初始访问权限。

除了敌对团体的目标可能与间谍活动有关之外，对 TAC-040 知之甚少，尽管该组织可能出于经济利益而采取行动的可能性并未被排除，理由是存在装载机系统上的 XMRig 加密矿工。

虽然没有证据表明该矿工在此事件中被处决，但威胁参与者拥有的门罗币地址通过劫持其他系统的计算资源来非法开采加密货币，至少净赚了 652 XMR（106,000 美元）。

该攻击链还因在受感染的服务器上部署了一个名为 Ljl Backdoor 的先前未记录的植入物而引人注目。根据对网络日志的分析，在受害者使服务器脱机之前，估计大约有 700MB 的存档数据已被泄露。

就其本身而言，该恶意软件是一种功能齐全的特洛伊木马病毒，旨在收集文件和用户帐户、加载任意 .NET 有效负载并收集系统信息以及受害者的地理位置。

“受害者通过使服务器离线，拒绝了威胁行为者在环境中横向移动的能力，这可能会阻止其他敏感数据的泄露并限制威胁行为者进行进一步恶意活动的能力。”