从Confluence漏洞（CVE-2023-22527）到LockBit加密

攻击始于对 CVE-2023-22527 的利用，CVE-2023-22527 是 Confluence 中的一个服务器端模板注入漏洞，允许未经身份验证的攻击者执行任意命令。初始访问被追踪到一个 IP 地址 （92[.]51.2.22），攻击者在其中执行了 net user 和 whoami 等系统发现命令。

根据 DFIR 报告，“威胁行为者活动的第一个迹象是系统发现命令的执行，包括 net user 和 whoami。

在获得访问权限后不久，攻击者尝试通过 curl 下载 AnyDesk，但最初尝试失败。然后，他们采用mshta.exe来执行包含 Metasploit 暂存器的远程 HTA 文件，成功建立了命令和控制 （C2）。

安装 AnyDesk 后，威胁行为者会为其配置预设密码，以确保持续的远程访问。“安装后，AnyDesk 配置了预设密码，为威胁行为者提供持续的远程访问，”报告指出。

攻击者迅速行动，执行进程枚举命令来识别其他恶意行为者并终止竞争进程。在此阶段，他们无意中杀死了自己的 Metasploit 会话，迫使他们重新运行漏洞并重建 C2。

使用 Mimikatz，攻击者成功提取了凭证，并通过 RDP 横向移动到备份服务器，在那里他们运行 PowerShell 脚本 （Veeam-Get-Creds-New.ps1） 来窃取 Veeam 凭证。这些凭证有助于访问文件共享服务器，他们使用 Rclone 将数据从中泄露到 MEGA.io。

一旦攻击者完全控制了环境，他们就开始手动和通过自动化方法部署 LockBit 勒索软件：

手动执行：LockBit 在备份服务器和文件共享服务器上手动执行。自动部署：PDQ Deploy 是一种合法的企业部署工具，用于通过 SMB 将勒索软件二进制文件推送到网络上。Secondary Encryption Wave：在 Exchange 服务器上执行故障安全批处理脚本，以加密任何遗漏的目标。“使用 PDQ Deploy，威胁行为者通过 SMB 将勒索软件二进制文件和批处理脚本分发到远程主机，”研究人员详细说明。

有关攻击时间线和技术指标的详细分类，请访问 DFIR 报告。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/