Gli operatori di ransomware Cring sfruttano la vulnerabilità di Adobe ColdFusion di 11 anni

Helga Smithsettembre 23, 2021Ultimo aggiornamento: settembre 23, 2021
40 1 lettura minuto

Un gruppo di criminali informatici sconosciuto in pochi minuti ha violato in remoto un server con una versione obsoleta di Adobe ColdFusion 9 e ne ha preso il controllo, e 79 ore dopo ha distribuito il ransomware Cring sul server.

Un server di proprietà di un fornitore di servizi senza nome è stato utilizzato per raccogliere schede attività e dati contabili per le buste paga, oltre a ospitare una serie di macchine virtuali.

Secondo agli esperti della società di sicurezza delle informazioni Sophos, gli attacchi sono stati effettuati da un indirizzo Internet appartenente al provider Internet ucraino Floid verde.

In un attacco recentemente indagato da Sophos, un attore di minacce sconosciuto ha sfruttato un'antica vulnerabilità di Internet in un'installazione di 11 anni di Adobe Fusione fredda 9 per assumere il controllo del server ColdFusion in remoto, quindi eseguire ransomware noto come Cring sul server, e contro altre macchine sulla rete del bersaglio.Gli specialisti Sophos scrivono.
Andrea Brandti
Andrea Brandti

Ricercatore senior Sophos Andrea Brandti dice dispositivi con obsoleti, il software vulnerabile è un bocconcino per gli hacker.

però, la grande sorpresa è il fatto che il server con software vecchio di 11 anni attaccato da ransomware è stato utilizzato attivamente e quotidianamente. Generalmente, i più vulnerabili sono i dispositivi inutilizzati o dimenticati “macchine fantasma”.

Dopo aver ottenuto l'accesso iniziale al server, gli aggressori hanno utilizzato vari metodi sofisticati per nascondere i file dannosi, iniezione di codice in memoria, e nascondere un attacco sovrascrivendo i file con dati corrotti. Inoltre, gli hacker hanno disattivato le soluzioni di sicurezza sfruttando il fatto che le funzionalità antimanomissione erano disabilitate.

In particolare, gli aggressori hanno sfruttato le vulnerabilità di attraversamento delle directory (CVE-2010-2861) in Adobe ColdFusion 9.0.1 e console di amministrazione precedente. Le vulnerabilità consentivano la lettura remota di file arbitrari, inclusi i file contenenti gli hash della password dell'amministratore (password.proprietà).

Nella prossima fase dell'attacco, gli hacker hanno sfruttato una vulnerabilità ancora precedente in ColdFusion (CVE-2009-3960) per caricare un foglio di stile a cascata dannoso (CSS) file sul server attaccato, che a sua volta ha scaricato il file eseguibile Cobalt Strike Beacon.

Questo file fungeva da canale per il download di payload aggiuntivi, creazione di account con privilegi di amministratore, e persino disabilitare la protezione degli endpoint e i motori antivirus come Windows Defender prima di avviare il processo di crittografia.

Lascia che ti ricordi che abbiamo parlato del fatto che Strano malware impedisce alle vittime di visitare siti pirata.

tag
Helga Smithsettembre 23, 2021Ultimo aggiornamento: settembre 23, 2021
40 1 lettura minuto

Helga Smith

Sono sempre stato interessato all'informatica, in particolare la sicurezza dei dati e il tema, che si chiama oggi "scienza dei dati", dalla mia prima adolescenza. Prima di entrare nel team di rimozione virus come caporedattore, Ho lavorato come esperto di sicurezza informatica in diverse aziende, incluso uno degli appaltatori di Amazon. Un'altra esperienza: Ho l'insegnamento nelle università di Arden e Reading.

lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come il tuo commento dati vengono elaborati.

Pulsante Torna in alto