Atlassian Confluence 服务器漏洞利用情况

关键要点

Deepwatch 研究人员发现 Atlassian Confluence 服务器中的一个高风险漏洞CVE202226134被攻击者利用。被追踪的攻击者 TAC040 在对一个未透露名称的研究和技术服务机构进行为期一周的攻击中使用了此漏洞。攻击者部署了新的 Ljl 后门，并可能利用了 Spring4Shell 漏洞 (CVE202222965)。尽管没有证据表明已执行 XMRig 加密矿工加载程序，但 TAC040 仍通过加密挖矿操作向其 Monero 地址添加了 652 XMR约合 106 万美元。攻击者在服务器关闭前，还窃取了近 700MB 的归档数据。

Deepwatch 研究人员揭示了一个关于 Atlassian Confluence 服务器漏洞的安全问题，该漏洞被标记为 CVE202226134，攻击者 TAC040 极有可能利用此漏洞，在 5 月对一家未透露名称的研究和技术服务机构进行了为期一周的攻击，据 The Hacker News 报导。

虎跃加速器

可能通过 Atlassian Confluence 漏洞部署的novel后门

Deepwatch 的报告称：“证据显示，威胁行为者在 Atlassian 的 Confluence 目录中以 tomcat9exe 为父进程执行了恶意命令。在初次入侵后，攻击者运行了各种命令来枚举本地系统、网络和 Active Directory 环境。”研究人员补充道，攻击者可能还利用了 Spring4Shell 漏洞CVE202222965来对 Confluence 进行攻击。

尽管目前没有显示执行 XMRig 加密矿工加载程序的迹象，TAC040 还是通过加密挖矿操作，在其 Monero 地址中增加了至少 652 XMR，估计价值约为 106 万美元。同时，攻击者还在服务器关闭前窃取了近 700MB 的归档数据。