Исследователи из Trend Micro обнаружили атаку, эксплуатирующую уязвимость Atlassian Confluence CVE-2023-22527, которая позволяла удаленно выполнять код для криптомайнинга в сети Titan Network.
Описание
Злоумышленники использовали эту уязвимость для компрометации серверов, выполняя команды и используя службы поиска IP-адресов для сбора системной информации. После завершения разведки злоумышленники загружали сценарии оболочки для установки двоичных файлов Titan и закреплялись, настраивая устройства на работу в качестве пограничных узлов Titan, привязанных к личности злоумышленников. Затем эти машины подключались к Cassini Testnet, блокчейну с делегированным доказательством доли (DPoS), что позволяло злоумышленникам получать вознаграждение.
Злоумышленники развернули несколько сценариев оболочки для обеспечения непрерывной работы двоичных файлов, изменили пути к библиотекам системы и настроили клиент «aleo-pool» на подключение к «zkRush Pool» для криптомайнинга. Чтобы подготовиться к латеральному перемещению в среде Amazon Web Services (AWS), злоумышленники развернули открытый ключ SSH и изменили конфигурационный файл SSH, обеспечив подключение к инстансам AWS EC2. Кроме того, они внедрили обратную оболочку bash для поддержания командно-административной связи по TCP-порту 80.
Indicators of Compromise
IPv4
- 13.236.179.8
- 35.74.215.126
URLs
- http://3.39.22.13/0
- http://3.39.22.13/1
- http://3.39.22.13/2
- http://3.39.22.13/3
- http://3.39.22.13/4
- http://3.39.22.13/5
- http://3.39.22.13/6
- http://3.39.22.13/7
- http://3.39.22.13/8
- http://3.39.22.13/9
- wss://aleo.zkrush.com:3333
