Atlassian Confluence 서버의 CVE-2022-26134 RCE 취약점, 랜섬웨어 배포에 악용돼

Ransomware gangs are exploiting CVE-2022-26134 RCE in Atlassian Confluence servers

 

여러 랜섬웨어 그룹이 Atlassian Confluence Server 및 Data Center에 존재하는 최근 공개된 원격 코드 실행(RCE) 취약점(CVE-2022-26134)을 활발히 악용하고 있는 것으로 드러났습니다.

 

Bleeping Computer는 CVE-2022-26134 취약점에 대한 PoC 익스플로잇이 온라인에 공개되었다고 밝혔습니다.

 

사이버 보안 회사인 GreyNoise의 연구원은 23개의 고유 IP 주소가 해당 Atlassian 취약점을 악용하는 것을 발견했다고 보고했습니다.

 

원격 공격자는 이 OGNL 주입 취약점을 악용하여 취약한 서버를 해킹한 후 원격 코드 실행 취약점을 악용해 랜섬웨어를 포함한 악성코드를 주입할 수 있습니다.

 

보안 회사인 Prodaft의 연구원은 AvosLocker 랜섬웨어 운영자가 이미 Atlassian Confluence의 취약점을 악용하기 시작했다고 처음으로 보고했습니다.

 

 

<이미지 출처: Prodaft>

 <AvosLocker Confluence 캠페인>

 

 

연구원들은 AvosLocker의 제어판에서 "confluence 캠페인" 항목이 생성된 것을 확인했습니다.

 

연구원들은 또한 Cerber2021 랜섬웨어(CerberImposter)의 배후에 있는 운영자가 최근 공격에 Confluence 취약점을 적극적으로 악용하고 있다고도 밝혔습니다.

 

아래는 암호화된 Confluence 구성 파일을 포함한 CerberImposter가 ID-Ransomware 서비스에 제출된 수를 보여주는 데이터입니다.

 

 

<이미지 출처: ID-Ransomware>

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Ransom.Cerber’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/132186/cyber-crime/ransomware-gangs-cve-2022-26134-rce-atlassian-confluence.html

https://www.bleepingcomputer.com/news/security/confluence-servers-hacked-to-deploy-avoslocker-cerber2021-ransomware/

https://twitter.com/MsftSecIntel/status/1535417779960131584 (IOC)