用于部署勒索软件和加密矿工的Atlassian Confluence漏洞

最近修补的Atlassian Confluence服务器和数据中心产品中的一个关键安全漏洞正在实际攻击中积极进行武器化，以丢弃加密货币矿工和勒索软件有效载荷。

在网络安全供应商Sophos观察到的至少两起与Windows相关的事件中，对手利用该漏洞在受害者网络上发送Cerber勒索软件和一个名为z0miner的加密矿工。

Atlassian于2022年6月3日修补了该漏洞（CVE-2022-26134，CVSS分数：9.8），使未经验证的参与者能够注入恶意代码，从而为受影响的协作套件安装上的远程代码执行（RCE）铺平了道路。Confluence Server和Data Center的所有受支持版本都会受到影响。

作为攻击活动不同实例的一部分而推出的其他著名恶意软件包括Mirai和Kinsing机器人变体、一个名为pwnkit的流氓软件包，以及Cobalt Strike，这些恶意软件是在初步进入受损系统后部署的网络外壳。

Sophos首席安全研究员Andrew Brandt表示：“该漏洞CVE-2022-26134允许攻击者在内存中生成远程可访问的shell，而无需向服务器的本地存储写入任何内容。”。

这一披露与微软的类似警告相重叠，微软上周披露“多个对手和民族国家行为者，包括DEV-0401和DEV-0234，正在利用Atlassian Confluence RCE漏洞CVE-2022-26134。”

这一发展标志着一种持续的趋势，即威胁行为体越来越多地利用新披露的关键漏洞，而不是利用广谱目标中众所周知的过时软件缺陷。