据观察，威胁行为者利用未打补丁的 Atlassian 服务器并部署 Cerber 勒索软件的 Linux 变体（也称为 C3RB3R）。 

这些攻击利用了Atlassian Confluence 数据中心和服务器中的一个严重安全漏洞CVE-2023-22518，使未经身份验证的攻击者能够重置 Confluence 并创建管理员帐户。

有了这种访问权限，威胁行为者就可以控制系统，从而冒着失去机密性、完整性和可用性的风险。出于经济动机的网络犯罪团伙利用新创建的管理员帐户安装 Effluence Web shell 插件，从而促进任意命令执行。

Cado 的威胁情报工程师内特·比尔 (Nate Bill) 在周二发表的博客文章中讨论了这一发现。他指出，主要的 Cerber 有效负载在“confluence”用户下执行，将其加密范围限制为该用户拥有的文件。 Rapid7 曾于2023 年 11 月标记过此漏洞。

该勒索软件的核心组件是用 C++ 编写的，它充当同样用 C++ 编写的更多有害软件的载体。该附加软件是从攻击者控制的中央服务器获取的。 

一旦其任务完成，主要的勒索软件组件就会从系统中删除。涉及其他两个组件：一个检查勒索软件是否具有必要的权限，而另一个则对计算机上的文件进行加密，使它们在支付赎金之前无法访问。

尽管勒索信中有声称，但没有发生数据泄露。 Bill 表示，在转向 Golang 和 Rust 等跨平台语言的过程中，纯 C++ 有效负载的主导地位值得注意。

这位安全研究人员强调了Cerber 的复杂性，但也指出了仅加密 Confluence 数据的局限性，特别是在配置良好且具有备份的系统中，从而降低了受害者付费的动力。

这些发展与针对 Windows 和 VMware ESXi 服务器的新勒索软件系列的出现同时发生。此外，勒索软件攻击者正在使用泄露的 LockBit 勒索软件源代码定制变体，这突显了员工需要强大的安全措施和强大的网络安全文化。

文章原文链接:https://www.anquanke.com/post/id/295752