Cerber: трехголовый вымогатель атакует уязвимые серверы Confluence

Вредоносная программа состоит из трех сильно обфусцированных полезных нагрузок на C++, скомпилированных в 64-битный формат ELF и упакованных с помощью UPX. UPX - распространенный упаковщик, часто используемый злоумышленниками для сокрытия фактического кода программы, который распаковывается в памяти во время выполнения, что затрудняет его обнаружение системами защиты. Использование чистого C++ становится все менее распространенным явлением в Linux-среде, где многие угрозы теперь пишутся на Rust или Go, что указывает на возраст кодовой базы Cerber, впервые появившейся почти восемь лет назад.

Первоначальный доступ злоумышленники получают, используя уязвимость CVE-2023-22518, связанную с неправильной проверкой прав доступа. Это позволяет атакующему сбросить настройки приложения Confluence и создать новую учетную запись администратора через незащищенную конечную точку восстановления конфигурации. После создания учетной записи злоумышленник загружает и устанавливает через панель администратора вредоносный модуль - веб-шелл Effluence, который предоставляет интерфейс для выполнения произвольных команд на хосте.

С помощью этого веб-шелла злоумышленник загружает и запускает основную полезную нагрузку Cerber. В стандартной установке приложение Confluence выполняется от имени пользователя с низкими привилегиями, что ограничивает возможность шифрования только файлами, принадлежащими этому пользователю. Однако это включает хранилище данных Confluence, которое может содержать критически важную информацию. При работе от имени пользователя с более высокими привилегиями вредоносное ПО могло бы шифровать все файлы в системе.

Основная полезная нагрузка, упакованная в UPX, действует как стейджер для последующих модулей. Она подключается к серверу командования и управления (C2) по адресу 45[.]145[.]6[.]112 (ныне неработающему) и загружает вторичную полезную нагрузку - средство проверки логов, известное как agttydck. После его выполнения основная нагрузка удаляет себя с диска, загружает финальный модуль шифровальщика agttydcb, декодирует его в памяти и исполняет.

Полезная нагрузка agttydck, вероятно, служит для проверки разрешений или обнаружения песочницы. Он пытается записать слово "success" в указанный файл. Если операция успешна, возвращается ноль, в противном случае - единица. Это может быть проверкой возможности записи в систему или методом противодействия анализу в изолированных средах.

Финальный шифровальщик, agttydcb, достигает основной цели - шифрует файлы в файловой системе. При запуске он удаляет себя с диска, создает пустые файлы-маркеры /tmp/log.0 и /tmp/log.1 (вероятно, оставленные для отладки) и запускает отдельный поток для шифрования. Модуль пытается оставить файл с требованием выкупа read-me3.txt в каждом каталоге, после чего шифрует все файлы в нем, перезаписывая оригинальное содержимое зашифрованными данными и добавляя расширение .L0CK3D. Такой метод перезаписи файлов вместо их удаления эффективен в системах, где каталоги могут быть помечены как доступные только для добавления, что предотвращает удаление файлов, и усложняет восстановление данных с помощью forensic-анализа.

Несмотря на заявления в требовании выкупа о хищении данных, исследователи не обнаружили поведения, указывающего на реальный вывод информации с компрометированных систем. Cerber остается относительно сложным, хотя и устаревающим, вредоносным ПО. Эксплуатация уязвимости в Confluence позволяет ему атаковать большое количество потенциально ценных систем, однако часто возможность шифрования ограничивается только данными самого приложения, которые в правильно настроенных системах регулярно резервируются. Это значительно снижает эффективность атаки с целью вымогательства, поскольку у жертв гораздо меньше стимулов платить за восстановление доступа.

IPv4

• 45.145.6.112

SHA256

• 1849bc76e4f9f09fc6c88d5de1a7cb304f9bc9d338f5a823b7431694457345bd
• 4ed46b98d047f5ed26553c6f4fded7209933ca9632b998d265870e3557a5cdfe
• ce51278578b1a24c0fc5f8a739265e88f6f8b32632cf31bf7c142571eb22e243