Cring 勒索軟件運營商利用長達 11 年的 Adobe ColdFusion 漏洞
一個未知的網絡犯罪團伙在幾分鐘內遠程入侵了一台使用過時版本的 Adobe ColdFusion 的服務器 9 並控制了它, 和 79 幾個小時後,在服務器上部署了勒索軟件 Cring.
未命名服務提供商擁有的服務器用於收集工資單的時間表和會計數據, 以及託管許多虛擬機.
根據 給信息安全公司的專家 Sophos, 攻擊是從屬於烏克蘭互聯網提供商的互聯網地址進行的 綠色流體.
在 Sophos 最近調查的一次攻擊中, 一個未知的威脅行為者利用了一個 11 年前安裝的互聯網時代的漏洞 土坯 冷聚變 9 遠程控制 ColdFusion 服務器, 然後執行勒索軟件,稱為 克林 在服務器上, 和目標網絡上的其他機器.Sophos 專家寫道.
Sophos 高級研究員 安德魯·布蘭特 說設備過時, 易受攻擊的軟件是黑客的小道消息.
然而, 最大的驚喜是,被勒索軟件攻擊的 11 年前軟件的服務器每天都在積極使用. 作為一項規則, 最脆弱的是未使用的設備或被遺忘的設備 “幽靈機器”.
獲得對服務器的初始訪問權限後, 攻擊者使用了各種複雜的方法來隱藏惡意文件, 將代碼注入內存, 並通過用損壞的數據覆蓋文件來隱藏攻擊. 此外, 黑客利用防篡改功能被禁用的事實停用了安全解決方案.
特別是, 攻擊者利用目錄遍歷漏洞 (CVE-2010-2861) 在 Adobe ColdFusion 中 9.0.1 和更早的管理控制台. 該漏洞允許遠程讀取任意文件, 包括包含管理員密碼哈希的文件 (密碼.properties).
在攻擊的下一階段, 黑客利用了 ColdFusion 中更早的漏洞 (CVE-2009-3960) 上傳惡意級聯樣式表 (CSS) 文件到被攻擊的服務器, 進而下載 Cobalt Strike Beacon 可執行文件.
此文件用作下載其他有效負載的管道, 創建具有管理員權限的帳戶, 甚至在開始加密過程之前禁用端點保護和防病毒引擎(如 Windows Defender).
讓我提醒你,我們談到了這樣一個事實 奇怪的惡意軟件 防止受害者訪問盜版網站.