2026-04-16 04:41:07 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 攻击者利用CVE-2023-22527漏洞入侵未打补丁的Confluence服务器，通过Metasploit载荷链获取初始访问，部署AnyDesk实现持久化，使用Mimikatz和Impacket进行凭据窃取与横向移动，最终在62小时内投放ELPACO-team勒索软件。关键发现包括攻击工具与FIN7组织关联的spider.dll凭据、Zerologon攻击尝试及完整的MITREATT&CK映射。防御建议包括及时修补漏洞、监控LSASS访问、检测Metasploit特征行为。 综合评分： 87 文章分类： 漏洞分析,应急响应,威胁情报,恶意软件,安全运营

cover_image

又一个Confluence倒下了：CVE-2023-22527漏洞导致ELPACO-team勒索软件入侵

bitbot bitbot

Desync InfoSec

2026年4月12日 23:51 北京

在小说阅读器读本章

去阅读

又一个 Confluence 服务器倒下了：CVE-2023-22527 漏洞导致 ELPACO-team 勒索软件入侵

来源：The DFIR Report ｜编译：比特波特

────────────────

2024 年 6 月，一台未打补丁的 Atlassian Confluence 服务器通过 CVE-2023-22527 模板注入漏洞被攻破。攻击者从初始入侵到部署 ELPACO-team 勒索软件（Mimic 变种），整个过程仅耗时 约 62 小时。本文详细剖析了这条完整的攻击链。

核心要点： • 初始入口：CVE-2023-22527 Confluence 模板注入漏洞 • 攻击工具：Metasploit/Meterpreter、AnyDesk、Mimikatz、ProcessHacker、Impacket • 横向移动：Impacket wmiexec + RDP • 最终载荷：ELPACO-team.exe（Mimic 勒索软件变种） • 攻击时长：约 62 小时完成完整入侵链

────────────────

一、初始入口：CVE-2023-22527 漏洞利用

入侵始于 2024 年 6 月，攻击者利用 CVE-2023-22527（Atlassian Confluence 模板注入漏洞）攻击一台暴露在公网的 Confluence 服务器。该漏洞允许远程代码执行，Suricata 检测到以下告警规则：

ET EXPLOIT Atlassian Confluence RCE Attempt Observed (CVE-2023-22527) M2 (sid 2050543)

服务器日志显示，在数月内有大量来自不同 IP 地址的漏洞扫描尝试，最常见的命令是 whoami。真正的入侵从 IP 地址 91.191.209[.]46 开始，攻击者通过漏洞执行 curl 命令下载 Metasploit 载荷（Meterpreter），建立了与 C2 服务器的通信通道。

图：PCAP 显示 CVE-2023-22527 漏洞利用的网络流量

下载的可执行文件 HAHLGiDDb.exe 被保存到可疑路径： C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\

该文件仅导入了 VirtualAlloc 和 ExitProcess 两个 Windows API 函数，逆向分析确认它是一个 64 位 Metasploit shellcode 加载器，使用哈希混淆动态解析所需函数，并尝试将 Meterpreter DLL 注入其他进程。

图：HAHLGiDDb.exe 反汇编指令显示 Metasploit 加载器模式

────────────────

二、执行：Metasploit 载荷链

Metasploit 加载器 HAHLGiDDb.exe 连接到 91.191.209[.]46:12385 下载第二阶段载荷。下载的 PE 文件是一个 64 位 Windows DLL，只有 DllMain 导出函数（这对合法 DLL 来说极不寻常）。

在整个入侵过程中，攻击者三次通过 Confluence 漏洞投递 Metasploit 载荷，每次使用的 EXE 和 DLL 文件名都是随机生成的。加载器会释放随机命名的 DLL 文件到磁盘，同时创建同名管道（去掉 .dll 扩展名），这是一个非常鲜明的特征：

检测提示：可以通过威胁狩猎查询将 DLL 文件创建事件与管道创建事件关联——匹配去掉扩展名的 DLL 文件名和去掉反斜杠的管道名称，可以精准识别 Metasploit 活动。

────────────────

三、持久化：AnyDesk 与用户账户

攻击者在入侵第一天就执行了一系列自动化操作，强烈暗示使用了 自动化脚本或 Playbook：

1. 创建本地管理员账户 通过批处理文件 u1.bat 创建用户 “noname”，密码 “Slepoy_123”，加入 Administrators 组，设置密码永不过期。

图：u1.bat 批处理文件内容——创建用户并提权

2. 安装 AnyDesk 服务 攻击者将 AnyDesk.exe 下载到 Confluence 安装目录，然后以服务方式安装。设置无人值守访问密码为 “P@ssword1”，并通过 ANYDESK.EXE –GET-ID 获取连接 ID。这一安装过程在入侵期间重复了三次。

3. Spider.dll — 与 BlackBasta/FIN7 的关联 攻击者第三天通过 AnyDesk 会话传输了一个名为 “Attacker” 的文件夹，其中包含 spider.dll 和 spider_32.dll。逆向分析揭示 spider.dll 内嵌硬编码凭据 “Crackenn” / “*aaa111Cracke”，通过 NetUserAdd API 创建用户并加入管理员和远程桌面用户组。该凭据组合与 SentinelOne 此前披露的 BlackBasta 勒索软件关联 FIN7 威胁组织 的攻击工具一致。

图：spider.dll 的 DllMain 函数

────────────────

四、权限提升：从 NETWORK SERVICE 到 SYSTEM

初始访问时，攻击者仅获得 NETWORK SERVICE 权限。Metasploit 的 getsystem 命令尝试了多种提权方法：

• Named Pipe 冒充（DLL Dropper 变种）——失败，因为需要初始管理员权限 • Token Duplication（令牌复制）——失败，仅支持 x86 系统 • Named Pipe 冒充（RPCSS 变种）——成功！利用 LSASS 对 NETWORK SERVICE 的特性，从 RPCSS 进程复制 SYSTEM 令牌

提权成功后，攻击者还尝试利用 Zerologon（CVE-2020-1472） 攻击域控制器，但未成功。Suricata 的三条告警规则中仅触发了前两条，确认攻击失败。

图：Zerologon 漏洞利用尝试（未成功）

────────────────

五、凭据窃取：Mimikatz + Impacket 组合拳

第三天，攻击者通过 AnyDesk 会话投递了 Mimikatz（32 位和 64 位版本）及相关驱动文件，并执行以下命令：

mimikatz.exe “privilege::debug” “log .!logs\Result.txt” “sekurlsa::logonPasswords” “token::elevate” “lsadump::sam” exit

Mimikatz 执行后，攻击者用 notepad.exe 查看转储结果文件。随后使用 Impacket 的 secretsdump.exe（PyInstaller 打包的 Python 2.7 脚本），在不到两分钟内执行了 8 次，使用 NTLM 哈希进行 Pass-the-Hash 攻击。

图：Sysmon 进程访问事件显示 mimikatz.exe 访问 lsass.exe

此外，攻击者还在备份服务器和文件服务器上安装并运行了 ProcessHacker，同样以 SYSTEM 身份访问 lsass.exe，进一步扩大凭据窃取范围。

图：从 secretsdump.exe 中提取并反编译的 Python 脚本

────────────────

六、横向移动与发现

获得域管理员凭据后，攻击者使用多种方式进行横向移动：

• NetScan 网络扫描：扫描 Kerberos（88）、SMB（445）、RDP（3389）、Veeam Agent（6160）等端口 • Impacket wmiexec：通过哈希传递在域控制器上远程执行命令，创建域用户 NONAME 并加入 Domain Admins 和 Enterprise Admins 组 • SMB 共享：在 Confluence 服务器上创建 SMB 共享，存放后续攻击工具 • RDP：通过 NetScan GUI 直接发起 RDP 连接到文件服务器和备份服务器 • PrintNightmare 探测：使用 rpcdump.exe 检查 MS-RPRN 和 MS-PAR 端点（未成功）

────────────────

七、防御规避与最终载荷

攻击者使用 Defender Control（DC.exe） 禁用 Windows Defender，通过注册表设置 DisableAntiSpyware = 1。同时配置防火墙规则放通 RDP（3389 端口），并启用 RDP 连接。

入侵约 62 小时后，攻击者通过 RDP 登录到多台服务器（包括备份服务器和文件服务器），将 ELPACO-team.exe 通过 SMB 复制过去并在本地执行。ELPACO-team 被识别为 Mimic 勒索软件的变种。虽然删除了部分事件日志，但未观察到大规模数据外泄行为。

⚠ 警告：spider.dll 中出现的 “Crackenn” 凭据此前仅在 SentinelOne 披露的 BlackBasta/FIN7 攻击中出现过，这可能暗示 ELPACO-team 勒索软件操作者与 FIN7 威胁组织之间存在关联，或共享了攻击工具。

────────────────

八、IoC 情报指标

| | | | — | — | | 类型 | 值 | | C2 IP | 91.191.209[.]46 | | AnyDesk 服务器 IP | 45.227.254[.]124 | | 扫描 IP | 109.160.16.68 | | 扫描 IP | 185.228.19[.]244 | | 扫描 IP | 185.220.101[.]185 | | 漏洞 | CVE-2023-22527（Confluence RCE） | | 漏洞 | CVE-2020-1472（Zerologon，尝试未成功） | | 载荷文件 | HAHLGiDDb.exe、ELPACO-team.exe、spider.dll | | 本地凭据 | noname / Slepoy_123 | | Spider.dll 凭据 | Crackenn / *aaa111Cracke | | AnyDesk 密码 | P@ssword1 |

────────────────

九、MITRE ATT&CK 映射

| | | | — | — | | 阶段 | 技术 | | 初始访问 | T1190 — 利用面向公众的应用程序（CVE-2023-22527） | | 执行 | T1059.003 — Windows Command Shell | | 持久化 | T1136.001 — 创建本地账户、T1219 — 远程访问软件（AnyDesk） | | 提权 | T1134 — 访问令牌操纵（Named Pipe 冒充） | | 防御规避 | T1562.001 — 禁用防护工具、T1070.001 — 清除事件日志 | | 凭据访问 | T1003.001 — LSASS 内存转储、T1550.002 — Pass-the-Hash | | 发现 | T1018 — 远程系统发现、T1083 — 文件和目录发现 | | 横向移动 | T1047 — WMI（wmiexec）、T1021.001 — RDP | | C2 | T1219 — 远程访问软件（AnyDesk On-Prem、Metasploit） | | 影响 | T1486 — 数据加密（ELPACO-team / Mimic 勒索软件） |

────────────────

防御建议：

立即修补 CVE-2023-22527 及所有已知 Confluence 漏洞
监控 Metasploit 特征：DLL 文件与同名管道创建事件的关联检测
加强 LSASS 保护：启用 Credential Guard，限制进程对 lsass.exe 的访问
监控 AnyDesk 等远程工具的异常安装行为
对域控环境实施 Zerologon 和 PrintNightmare 的纵深防御检测
定期审计域管理员组成员变更

────────────────

原文：Another Confluence Bites the Dust: Falling to ELPACO-team Ransomware 来源：The DFIR Report（原文链接）发布时间：2025 年 5 月 19 日

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《又一个Confluence倒下了：CVE-2023-22527漏洞导致ELPACO-team勒索软件入侵》