Cette anaylyse de réponse d’incident rapporte une attaque de cybersécurité où un acteur malveillant a exploité une vulnérabilité connue (CVE-2023-22527) sur un serveur Confluence exposé à Internet, permettant une exécution de code à distance.
Après avoir obtenu cet accès initial, l’attaquant a exécuté une séquence de commandes, incluant l’installation d’AnyDesk, l’ajout d’utilisateurs administrateurs et l’activation de RDP. Ces actions répétées suggèrent l’utilisation de scripts d’automatisation ou d’un playbook.
Des outils tels que Mimikatz, ProcessHacker et Impacket Secretsdump ont été utilisés pour récolter des identifiants. L’intrusion a culminé avec le déploiement du ransomware ELPACO-team, une variante de Mimic, environ 62 heures après l’exploitation initiale de Confluence.
Bien que le ransomware ait été déployé et que certains journaux d’événements aient été supprimés, aucune exfiltration significative de données n’a été observée durant l’intrusion. Cet article fournit une analyse technique de l’attaque, mettant en lumière les méthodes et outils utilisés par l’attaquant.
🔗 Source originale : https://thedfirreport.com/2025/05/19/another-confluence-bites-the-dust-falling-to-elpaco-team-ransomware/