黑客利用未修复的 Atlassian 服务器攻击电信运营商和 ISP
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
高阶黑客组织 Volatile Cedar 被指和黎巴嫩黑客组织 Hezbollah Cyber Unit 之间存在关联,并且被指对全球范围内的企业发动间谍攻击活动。
Volatile Cedar 黑客组织可能访问了250多台 Oracle 和 Atlassian服务器,它们大多属于提供移动通信和互联网服务的组织机构。该组织至少活跃于2012年,不过在2015年才被研究员发现。2020年初,该组织再度活跃于 BeardStache 全球活动,可能攻陷了数百家企业。
侦查和利用
网络安全公司 ClearSky 发布报告称,Volatile Cedar 似乎专注于收集情报和窃取含敏感信息的企业数据库如电信企业的客户通话记录和私人数据。研究人员指出,攻击者通过侦查活动挑选受害者并依靠公开工具找到这些受害者,通过 URI 暴力破解工具 (GoBuster 和 DirBuster) 查找可导致 web shell 注入的公开目录。
Volatile Cedar 查找未修复的Atlassian Confluence、Atlassian Jira 和 Oracle Fusion Middleware 服务器发动攻击,这些遭利用的漏洞是 CVE-2019-3396、CVE-2019-11581 和 CVE-2012-3152。
最新的受害者的分布范围遍布中东、美国、欧洲,如美国、英国、埃及、沙特阿拉伯、约旦、阿联酋和巴勒斯坦自治政府。
保持低调
研究人员表示,黑客组织五年来一直是活跃状态,但由于采用了不同的 TTPs,因此未被检测到。
研究人员指出,黑客组织通过以下方式保持低调:
将常见的 web shell 工具看作主要的黑客工具并很少依赖其它工具,从而对归因造成困难。
将访问初始点从计算机转移到受害者网络,随后转移到暴露给公共互联网易受攻击的服务器。
一直都有攻击活动,只是最近的攻击目标有所变化
研究人员从多个企业的系统上发现可疑活动和黑客工具后开始调查,结果发现了和 Volatile Cedar 相关的远程访问工具 Explosive RAT 的新变体以及 “Caterpillar” web shell。
在事件响应过程中,研究人员从受害者服务器上找到了两个 JSP 文件,它们分别在2019年1月和2020年8月添加。这些文件在同一时间被安装在重定向于 Oracle 服务器的多个端口上。
研究人员指出,黑客访问的 Oracle 服务器目前仍未被修复,易受攻击,使得黑客能够攻击多个电信提供商的网络或获得对文件的访问权限。
研究人员表示,黑客结合使用开源工具和自定义工具,目前使用完全被拿下 的 web shell、一个自定义 RAT 和“仔细挑选的补充工具如 URI 暴力工具。研究人员指出该黑客组织能够开发其工具并在无需引起注意的情况下协同”复杂的、设计精良的攻击活动“。
技术报告见:
https://www.clearskysec.com/wp-content/uploads/2021/01/Lebanese-Cedar-APT.pdf
推荐阅读
DreamBus 僵尸网络瞄准在 Linux 服务器上运行的企业 app
HPE 发布严重的 RCE 0day 漏洞,影响服务器管理软件 SIM,无补丁
原文链接
https://www.bleepingcomputer.com/news/security/hezbollah-hackers-attack-unpatched-atlassian-servers-at-telcos-isps/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
黑客利用未修复的 Atlassian 服务器攻击电信运营商和 ISP相关推荐
- 157 亿美元 !Salesforce 收购 Tableau !微软发布警告,表明黑客利用Office漏洞发动垃圾邮件攻击……...
关注并标星星CSDN云计算 极客头条:速递.最新.绝对有料.这里有企业新动.这里有业界要闻,打起十二分精神,紧跟fashion你可以的! 每周三次,打卡即read 更快.更全了解泛云圈精彩news g ...
- Windows漏洞十年未修复,3CX供应链攻击影响全球60多万家企业
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 已存在十年之久的Windows 漏洞 (CVE-2013-3900) 遭利用,导致可执行文件看似获得合法签名.这么多年来,微软发布的修复方案仍然 ...
- 微软发布警告:黑客利用Office漏洞发动垃圾邮件攻击
点击上方"民工哥技术之路"选择"置顶或星标" 每天10点为你分享不一样的干货 原文:http://tech.qq.com/a/20190610/001746.h ...
- 计费软件 0day 被用于攻陷美国某工程公司,8个未修复0day再现
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 美国政府:伊朗黑客利用Log4Shell 漏洞攻陷联邦机构
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国FBI和CISA发布联合公告指出,未具名伊朗威胁组织入侵了联邦民事行政部门 (FCEB) 所属一家组织机构并部署了XMRig 挖矿恶意软件. ...
- 微软督促客户修复本地 Exchange 服务器
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软正在督促客户升级Exchange 服务器并采取多种措施加固环境安全如启用Windows 扩展防护功能并配置基于证书的PowerShell序列 ...
- 黑客利用SSH弱密码攻击控制Linux服务器,潜在目标约十万IP天
一.概述 本周腾讯安全服务中心接到客户求助,客户部署的腾讯御界高级威胁检测系统发现SSH服务失陷感知信息,该公司安全管理人员及时联络腾讯安全专家协助分析威胁来源. 腾讯安全工程师在征得客户同意后对客户 ...
- Linux 应用市场易受RCE和供应链攻击,多个0day未修复
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件 ...
- 黑客利用Apache Struts 2漏洞在服务器上传递Cerberus勒索软件
前一阵,我们对Apache Strust 2的CVE-2017-5638漏洞进行了预警,最近F5实验室的研究人员发现Apache Struts 2 漏洞被网络罪犯用于传递Cerber勒索软件. 实际上 ...
最新文章
- 力扣(LeetCode)刷题,简单+中等题(第35期)
- 【Spark亚太研究院系列丛书】Spark实战高手之路-第一章 构建Spark集群(第二步)(4)...
- 感觉 Mongodb 的操作 还没 mysql 方便 。。。。
- shell 死循环if判断_运维小技巧(2):shell函数
- 免安装版Tomcat6.0启动方法
- (三)PYTHON字典 元祖 列表尝试应用
- 怎么改变表单option标签直接字体大小_不起眼却非常重要的表单交互
- Online Judge System
- 【VB.NET】VB.NET面向对象技术问题的解答
- mysql数据库ACID实现原理
- Java简历模板(三十个模板随意选)
- 白话用consul作为注册中心搭建微服务
- linux小米随身wifi驱动下载,小米随身wifi驱动
- 解决ThinkPad早期笔记本Broadcom博通系列无线网卡Win10掉线、受限、速度慢问题(ThinkPad E530为例)
- 导出的excel添加水印
- Cannot find module /node_modules/cz-conventional-changelog
- MIUI14+安卓13 Root教程 小米10 小米11 小米12 小米13 红米
- 使用canvas画一个流星动画送给她吧
- Android图表库MPAndroidChart(二)——线形图的方方面面,看完你会回来感谢我的
- java中遍历一个对象的所有属性