威胁行为者正在积极利用影响 Atlassian Confluence 数据中心和 Confluence Server 的现已修补的关键安全漏洞，在易受攻击的实例上进行非法加密货币挖掘。

“这些攻击涉及威胁行为者，他们采用的方法包括部署 shell 脚本和 XMRig 矿工、以 SSH 端点为目标、杀死竞争的加密挖掘进程以及通过 cron 作业保持持久性，”趋势科技研究员 Abdelrahman Esmail 说。

利用的安全漏洞是 CVE-2023-22527，这是旧版本的 Atlassian Confluence Data Center 和 Confluence Server 中的最大严重性漏洞，可能允许未经身份验证的攻击者实现远程代码执行。这家澳大利亚软件公司于 2024 年 1 月中旬解决了这个问题。

Trend Micro 表示，在 2024 年 6 月中旬至 7 月底期间，它观察到大量针对该漏洞的利用尝试，这些漏洞利用该漏洞在未修补的主机上放置 XMRig 矿工。据说至少有三个不同的威胁行为者是恶意活动的幕后黑手 –

• 使用特别构建的请求通过 ELF 文件有效负载启动 XMRig 矿工
• 使用 shell 脚本首先终止竞争的加密劫持活动（例如 Kinsing、givemexyz），删除所有现有的 cron 作业，卸载阿里巴巴和腾讯的云安全工具，并收集系统信息，然后设置一个新的 cron 作业，每 5 分钟检查一次命令和控制 （C2） 服务器连接并启动矿工。

“随着威胁行为者不断利用 CVE-2023-22527，CVE-2023-22527 给全球组织带来了重大的安全风险，”Esmail 说。

“为了最大限度地降低与此漏洞相关的风险和威胁，管理员应尽快将其 Confluence Data Center 和 Confluence Server 版本更新到最新的可用版本。”