Godzilla Backdoor: A Stealthy Threat Targeting Atlassian Confluence Flaw (CVE-2023-22527)
2024/08/30 SecurityOnline — Atlassian Confluence Data Center/Server の脆弱性 CVE-2023-22527 を悪用する新たな攻撃手法が、Trend Micro のサイバー・セキュリティ研究者たちにより発見された。このキャンペーンで採用されている Godzilla バックドアは、中国で開発されたファイルレス・マルウェアであり、メモリ内で動作することで、従来からのセキュリティ・ソリューションを効果的に回避する。
この攻撃チェーンは、脆弱性 CVE-2023-22527 の悪用から始まる。この脆弱性の悪用に成功した攻撃者は、脆弱な Confluence Data Center/ Server インスタンス上で、悪意のローダーを展開する。このローダーが、さらなる悪意の活動のためのパイプとなり、サーバのメモリ上にステルス性の高い Godzilla ウェブシェルが注入される。
Godzilla バックドアは、BeichenDream として知られる中国の脅威アクターが開発したものであり、ファイルレスで動作するという特徴と、ネットワーク通信を隠すために AES (Advanced Encryption Standard) を使用するという特徴を持つ。そのため、従来のシグネチャ・ベースのアンチウイルス・ソリューションや、機械学習ベースの防御を用いても、検出が困難となっている。
この攻撃チェーンは、セキュリティ対策をバイパスし、標的環境内で永続性を維持するために設計されている。具体的には、以下のようなテクニックが採用されている:
- OGNL テンプレートの制限を回避する、複雑なオブジェクト・リンク・チェーン。
- メモリ内で悪意のコードを直接実行するための、動的なクラス・ローディング。
- 継続的なアクセス・バックドアを作成するための、Tomcat パイプラインへのカスタムバルブの注入。
Godzilla バックドアの中核は、カスタムな Tomcat バルブである、ValveBase を継承した GodzillaValue クラスである。このクラスは、暗号化/復号化/base64 エンコーディングのための様々なメソッドを備えており、それにより、このマルウェアの永続性とステルス性が確保される。このクラスは、暗号操作のために、ハードコードされたキーと、パスワードによる AES-128 暗号化を使用しており、攻撃者にとって有益なツールとなっている。
GodzillaValue クラスは、攻撃者からの次に指示を待つ。それが示すのは、ボットネットの作成を目的とした、より広範な戦略の一部であることだ。この仮定を裏付けるのは、正しいキーで暗号化されていれば、リモートから実行できるコマンドの存在である。このバックドアは、次のステップのペイロードを受信するまで、アイドル状態を維持するように設計されており、このキャンペーンの背後にある、綿密な計画が浮き彫りにされる。
この脆弱性の悪用に成功した攻撃者は、侵害した Confluence サーバを完全にコントロールし、データの流出/機密情報への不正アクセス/ネットワーク内での横移動などのを達成することで、組織に深刻な結果をもたらす可能性を手にする。
現状において、脆弱性 CVE-2023-22527 が広範に悪用されているため、ユーザー組織における迅速かつ積極的な対応が必要となっている。
Atlassian Confluence の脆弱性 CVE-2023-22527 ですが、以下のリストにあるように、第一報は 2024/01/16 となっています。そして、3月に PoC が登場した後に、しばらく時間が空いて、8月末に悪用が観測されています。影響が長引くのは、パッチ未対応のインスタンスが多いということなのでしょう。
2024/08/27:Confluence の CVE-2023-22527:クリプトジャッキングが発覚
2024/03/09:Confluence の脆弱性:Web シェルをドロップする PoC が登場
2024/01/22:Confluence の CVE-2023-22527 が FIX:積極的な悪用を観測
2024/01/16:Confluence の脆弱性 CVE-2023-22527 が FIX:CVSS 10
IoT OT Security News 
You must be logged in to post a comment.