Exploitation d'une vulnérabilité Confluence mène à un déploiement de ransomware
Cette anaylyse de réponse d’incident rapporte une attaque de cybersécurité où un acteur malveillant a exploité une vulnérabilité connue (CVE-2023-22527) sur un serveur Confluence exposé à Internet, permettant une exécution de code à distance. Après avoir obtenu cet accès initial, l’attaquant a exécuté une séquence de commandes, incluant l’installation d’AnyDesk, l’ajout d’utilisateurs administrateurs et l’activation de RDP. Ces actions répétées suggèrent l’utilisation de scripts d’automatisation ou d’un playbook. Des outils tels que Mimikatz, ProcessHacker et Impacket Secretsdump ont été utilisés pour récolter des identifiants. L’intrusion a culminé avec le déploiement du ransomware ELPACO-team, une variante de Mimic, environ 62 heures après l’exploitation initiale de Confluence. ...