Кибербезопасность - это постоянная гонка вооружений между защитниками и злоумышленниками. И, как показывает недавнее исследование Trend Micro, традиционные антивирусы оказываются бессильными перед новыми, изощренными атаками. В частности, злоумышленники активно эксплуатируют уязвимость CVE-2023-22527 в продуктах Atlassian Confluence Data Center и Confluence Server для внедрения бэкдора Godzilla, который практически невидим для классических систем безопасности.
Ошибка CVE-2023-22527, имеющая рейтинг CVSS 10.0, позволяет злоумышленникам выполнять произвольный код на уязвимых серверах Atlassian. Это означает, что хакеры получают полный контроль над системой, способны красть данные, устанавливать вредоносное ПО, а также использовать сервер как отправную точку для дальнейших атак.
Godzilla - это веб-шелл, разработанный китайским хакером «BeichenDream». Он обладает рядом особенностей, которые делают его опасным для традиционных систем защиты.
Godzilla использует AES-шифрование для маскировки своих действий, затрудняя обнаружение вредоносного кода антивирусными программами.
Атака начинается с внедрения вредоносного кода через уязвимость CVE-2023-22527. Затем хакеры используют сложные многоэтапные действия, включая инъекцию кода в оперативную память сервера.
Godzilla работает в оперативной памяти, не оставляя следов на жестком диске. Это делает его практически невидимым для традиционных антивирусных программ, которые ориентируются на поиск файлов с вредоносным кодом.
Godzilla позволяет злоумышленникам удаленно управлять зараженным сервером. Хакеры могут выполнять любые команды на сервере, красть конфиденциальную информацию, изменять настройки, а также использовать сервер как отправную точку для атак на другие системы.
Может использоваться для установки майнеров криптовалют, которые будут тайно использовать ресурсы зараженного сервера для добычи криптовалюты. И может использоваться для распространения других вредоносных программ, например, троянов, вирусов, шпионского ПО.
Может использоваться для установки майнеров криптовалют, которые будут тайно использовать ресурсы зараженного сервера для добычи криптовалюты. И может использоваться для распространения других вредоносных программ, например, троянов, вирусов, шпионского ПО.
Atlassian уже выпустила исправления для уязвимости CVE-2023-22527. Убедитесь, что вы установили последние обновления для Confluence Data Center и Confluence Server.
Внедрите систему SIEM (Security Information and Event Management) - SIEM позволяет собирать и анализировать данные о безопасности из различных источников, помогая обнаруживать и реагировать на подозрительные действия.