Ένας νέος κακόβουλος παράγοντας έχει εμφανιστεί, που εκμεταλλεύεται την κρίσιμη ευπάθεια CVE-2023-22527 στο Atlassian Confluence μέσω του Godzilla Backdoor.
Δείτε επίσης: Ευπάθεια Atlassian Confluence χρησιμοποιείται για crypto-mining επιθέσεις
Αυτή η ευπάθεια, η οποία επηρεάζει το Confluence Data Center και τα προϊόντα διακομιστή, έχει οπλιστεί χρησιμοποιώντας το Godzilla Backdoor, ένα εξελιγμένο κακόβουλο λογισμικό. Οι συνέπειες αυτής της εκμετάλλευσης είναι σημαντικές, θέτοντας σοβαρό κίνδυνο για τους οργανισμούς παγκοσμίως.
Godzilla Backdoor: Μία εξελιγμένη απειλή
Σύμφωνα με αναφορές της TrendMicro, το Godzilla backdoor είναι ένα κακόβουλο λογισμικό που αναπτύχθηκε από έναν χρήστη με το όνομα “BeichenDream“. Σχεδιάστηκε για να αποφεύγει τον εντοπισμό με παραδοσιακά μέτρα ασφαλείας, χρησιμοποιώντας την κρυπτογράφηση Advanced Encryption Standard (AES) για την κυκλοφορία του δικτύου του.
Αυτό το backdoor είναι ιδιαίτερα δύσκολο να εντοπιστεί από παλαιότερες λύσεις προστασίας από ιούς, καθώς λειτουργεί χωρίς αρχεία, αποφεύγοντας τη δημιουργία ανιχνεύσιμων αρχείων στο σύστημα. Το Godzilla backdoor, δημιουργήθηκε αρχικά για να αντιμετωπίσει τον συχνό εντοπισμό υπαρχόντων webshells από προϊόντα ασφαλείας κατά τη διάρκεια επιχειρήσεων red team.
Δείτε ακόμα: Ευπάθεια PHP χρησιμοποιείται για εγκατάσταση του Msupedge backdoor
Ο χαμηλός ρυθμός ανίχνευσης σε διάφορα προϊόντα προμηθευτών ασφαλείας, το καθιστά ένα τρομερό εργαλείο για τους παράγοντες απειλών.
Διαδικασία Εκμετάλλευσης
Η επίθεση ξεκινά με την εκμετάλλευση του CVE-2023-22527 χρησιμοποιώντας ένα velocity.struts2.context για την εκτέλεση ενός αντικειμένου OGNL. Αυτό επιτρέπει στον εισβολέα να φορτώσει ένα webshell του Godzilla backdoor στον διακομιστή θυμάτων Atlassian Confluence.
Το κακόβουλο ωφέλιμο φορτίο περιλαμβάνει μια πολύπλοκη διαδικασία εκτέλεσης κώδικα JavaScript, κωδικοποίησης Base64 και φόρτωσης δυναμικής κλάσης, γεγονός που καθιστά δύσκολο τον εντοπισμό και τον μετριασμό του.
Το Godzilla backdoor αξιοποιεί το Java Reflection για πρόσβαση σε ιδιωτικά πεδία και μεθόδους κλάσεων, επιθεωρεί νήματα για να βρει συγκεκριμένα που σχετίζονται με τον StandardEngine και τα Tomcat’s StandardEngine και Acceptor και φορτώνει και ορίζει κλάσεις από συμβολοσειρές που κωδικοποιούνται από το Base64.
Αυτή η εξελιγμένη χρήση των λειτουργιών Java επιτρέπει στο κακόβουλο λογισμικό να εισάγει μια προσαρμοσμένη βαλβίδα στον αγωγό Tomcat, παρέχοντας μη εξουσιοδοτημένη πρόσβαση στον διακομιστή.
Δείτε επίσης: Νέο Windows Backdoor BITSLOTH εκμεταλλεύεται BITS για κρυφή επικοινωνία
Ένα backdoor, όπως το Godzilla, είναι μία κακόβουλη μέθοδος που επιτρέπει μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα ή ένα δίκτυο, χωρίς να περάσει από τα συνηθισμένα πρωτόκολλα ασφαλείας. Αυτά τα κρυφά μονοπάτια μπορούν να δημιουργηθούν σκόπιμα από προγραμματιστές για λόγους συντήρησης ή να αξιοποιηθούν από hacker για να παρακάμψουν τα μέτρα ελέγχου ταυτότητας. Μόλις δημιουργηθεί ένα backdoor, μπορεί να επιτρέψει στους εισβολείς να χειριστούν δεδομένα, να κλέψουν πληροφορίες ή να αποκτήσουν περαιτέρω έλεγχο σε ένα σύστημα που δεν ανιχνεύεται. Είναι ζωτικής σημασίας για τα άτομα και τους οργανισμούς να διατηρούν ισχυρά μέτρα ασφαλείας και να ενημερώνουν τακτικά τα συστήματά τους για να μετριάζουν τον κίνδυνο τέτοιων εισβολών.
Πηγή: cybersecuritynews