黑客利用未修复的 Atlassian 服务器攻击电信运营商和 ISP

Volatile Cedar 黑客组织可能访问了250多台 Oracle 和 Atlassian服务器，它们大多属于提供移动通信和互联网服务的组织机构。该组织至少活跃于2012年，不过在2015年才被研究员发现。2020年初，该组织再度活跃于 BeardStache 全球活动，可能攻陷了数百家企业。

网络安全公司 ClearSky 发布报告称，Volatile Cedar 似乎专注于收集情报和窃取含敏感信息的企业数据库如电信企业的客户通话记录和私人数据。研究人员指出，攻击者通过侦查活动挑选受害者并依靠公开工具找到这些受害者，通过 URI 暴力破解工具 (GoBuster 和 DirBuster) 查找可导致 web shell 注入的公开目录。

Volatile Cedar 查找未修复的Atlassian Confluence、Atlassian Jira 和 Oracle Fusion Middleware 服务器发动攻击，这些遭利用的漏洞是 CVE-2019-3396、CVE-2019-11581 和 CVE-2012-3152。

最新的受害者的分布范围遍布中东、美国、欧洲，如美国、英国、埃及、沙特阿拉伯、约旦、阿联酋和巴勒斯坦自治政府。

研究人员表示，黑客组织五年来一直是活跃状态，但由于采用了不同的 TTPs，因此未被检测到。

研究人员指出，黑客组织通过以下方式保持低调：

• 将常见的 web shell 工具看作主要的黑客工具并很少依赖其它工具，从而对归因造成困难。

• 将访问初始点从计算机转移到受害者网络，随后转移到暴露给公共互联网易受攻击的服务器。

• 一直都有攻击活动，只是最近的攻击目标有所变化

研究人员从多个企业的系统上发现可疑活动和黑客工具后开始调查，结果发现了和 Volatile Cedar 相关的远程访问工具 Explosive RAT 的新变体以及 “Caterpillar” web shell。

在事件响应过程中，研究人员从受害者服务器上找到了两个 JSP 文件，它们分别在2019年1月和2020年8月添加。这些文件在同一时间被安装在重定向于 Oracle 服务器的多个端口上。

研究人员指出，黑客访问的 Oracle 服务器目前仍未被修复，易受攻击，使得黑客能够攻击多个电信提供商的网络或获得对文件的访问权限。

研究人员表示，黑客结合使用开源工具和自定义工具，目前使用完全被拿下 的 web shell、一个自定义 RAT 和“仔细挑选的补充工具如 URI 暴力工具。研究人员指出该黑客组织能够开发其工具并在无需引起注意的情况下协同”复杂的、设计精良的攻击活动“。

技术报告见：

https://www.clearskysec.com/wp-content/uploads/2021/01/Lebanese-Cedar-APT.pdf

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。