勒索软件Atom Silo透过协作平台Confluence入侵组织，并企图防碍防毒软件运作

团队协作平台Confluence的重大漏洞CVE-2021-26084，Atlassian甫于8月底修补完成，9月初就传出遭到攻击者利用，美国当局因此提出警告，呼吁用户要尽速修补Confluence服务器，不久之后，又有资安研究人员提出新发现：攻击者已利用含有漏洞的Confluence来挖矿牟利（其中，持续整合（CI）工具Jenkins证实他们已弃用的协作平台服务器受害）。

现在，此项漏洞也被勒索软件骇客盯上。资安业者Sophos于10月4日，揭露自9月中旬出现的Atom Silo勒索软件攻击行动，而在这起事故中，攻击者入侵受害组织的管道，就是借由上述的Confluence漏洞，再横向感染其他处于相同局域网络的电脑。

关于Atom Silo的特征，Sophos表示，它与LockFile几乎相同，但攻击者运用了一些新手法，而使得调查极为困难，例如，攻击者使用侧载恶意动态程式库的方式，来中断Sophos端点防毒软件的运作。

透过协作平台漏洞入侵，植入后门程式

关于此次勒索软件的攻击，是发生在9月24日，但其实骇客在9月13日，就攻击受害组织的Confluence服务器，侵入管道是物件图导航语言（Object Graph Navigation Language，OGNL）注入漏洞CVE-2021-26084，对方经由程式码注入攻击而在受害者系统上形成了后门，使得攻击者后续能够下载作案工具并执行。

除了上述漏洞产生的后门，攻击者透过恶意酬载于Confluence服务器上，植入第2个后门程式──这个后门由3个档案组成，其中一个为具有合法签章的可执行档案，攻击者用来侧载恶意DLL程式库。

而这个恶意DLL档案的启动方式，是被冒充为可执行档案所需的程式库，与可执行档案存放于相同的资料夹，以便让可执行档案运作时存取，这种手法被称为DLL搜寻顺序挟持（DLL Search Order Hijacking）。

至于该恶意档案的作用，是读取最后一个档案mfc.ini，来解密并载入后门。

上述DLL载入的恶意程式码内容，会使用TCP/IP的80连接埠，存取1个中继站的主机名称，程式码一旦载入，攻击者就能透过Windows管理界面（WMI），远端执行Shell命令。接下来，骇客可以开始横向移动，并在5个小时内入侵数台服务器。

利用核心驱动程式与骇客工具，让防毒软件无法正常运作

前述入侵工作完成之后，攻击者一直到了9月24日，才再度行动。他们开始探索受害组织的重要服务器，并远端操作RClone软件，将资料到外泄到攻击者持有的云端档案同步服务（特定Dropbox使用者账号的云端储存空间）。

等到资料传输完成，他们便将勒索软件Atom Silo的相关档案，上传到网域控制器，再借由群组原则的套用，感染网域里的所有电脑。而在启动勒索软件之前，攻击者也利用核心驱动程式档案drv64.dll，来干扰受害电脑安装的Sophos防毒软件运作，并且停用Sophos的档案扫描服务。

那么，若是端点侦测与反应系统（EDR）遇到这个恶意软件，又会是如何呢？Sophos表示，虽然他们的端点防护软件Intercept X，能透过CryptoGuard功能侦测到勒索软件，但攻击者会接着发动第2波攻击，将第2个攻击执行档，植入Windows的使用者桌面资料夹，使得防护遭到破坏，并且再度更新群组原则来执行Atom Silo。