Atlassian Confluence 服务器漏洞利用情况

关键要点

• Deepwatch 研究人员发现 Atlassian Confluence 服务器中的一个高风险漏洞（CVE-2022-26134）被攻击者利用。
• 被追踪的攻击者 TAC-040 在对一个未透露名称的研究和技术服务机构进行为期一周的攻击中使用了此漏洞。
• 攻击者部署了新的 Ljl 后门，并可能利用了 Spring4Shell 漏洞 (CVE-2022-22965)。
• 尽管没有证据表明已执行 XMRig 加密矿工加载程序，但 TAC-040 仍通过加密挖矿操作向其 Monero 地址添加了 652 XMR（约合 10.6 万美元）。
• 攻击者在服务器关闭前，还窃取了近 700MB 的归档数据。

Deepwatch 研究人员揭示了一个关于 ，该漏洞被标记为 CVE-2022-26134，攻击者 TAC-040 "极有可能" 利用此漏洞，在 5 月对一家未透露名称的研究和技术服务机构进行了为期一周的攻击，据

报导。

Deepwatch 的报告称：“证据显示，威胁行为者在 Atlassian 的 Confluence 目录中以 tomcat9.exe 为父进程执行了恶意命令。在初次入侵后，攻击者运行了各种命令来枚举本地系统、网络和 Active Directory 环境。”研究人员补充道，攻击者可能还利用了 Spring4Shell 漏洞（CVE-2022-22965）来对 Confluence 进行攻击。

尽管目前没有显示执行 XMRig 加密矿工加载程序的迹象，TAC-040 还是通过加密挖矿操作，在其 Monero 地址中增加了至少 652XMR，估计价值约为 10.6 万美元。同时，攻击者还在服务器关闭前窃取了近 700MB 的归档数据。