近期，勒索軟件團伙瞄準了一個遠程代碼執行 (RCE) 漏洞，該漏洞影響會Atlassian Confluence服務器和數據中心。如果成功利用此OGNL注入漏洞 (CVE-2022-26134)，未經身份驗證的攻擊者可以通過創建新管理員帳戶和執行任意代碼遠程接管未修復補丁的服務器。雖然該漏洞被暴露后Atlassian也及時做出響應，但因其概念驗證漏洞也一并被泄露到了網上，這就導致很多黑客都可以利用該漏洞，目前多個僵尸網絡和威脅參與者在野外積極利用它來部署加密惡意軟件。

瑞士網絡威脅情報公司Prodaft的研究人員發現AvosLocker勒索軟件分支機構已經加入了這一行列。他們瞄準并入侵暴露在互聯網上的未打補丁的Confluence服務器“以大規模系統地感染多個受害者。AvosLocker的命令和控制服務器的截圖表明了威脅行為者已經對Confluence下手了。

在采訪中，Prodaft 表示通過在各種網絡上執行大規模掃描，AvosLocker 威脅參與者正搜索用于運行Atlassian Confluence系統的易受攻擊的機器。且AvosLocker 已經成功感染了來自全球不同地區的多個企業，包括但不限于美國、歐洲和澳大利亞。

還被很多受害者表示，Cerber2021勒索軟件(也稱為CerberImposter)也在積極利用Confluence CVE-2022-26134漏洞。ID-Ransomware的創建者Michael Gillespie說，被識別為CerberImposter的提交文件包括加密的Confluence配置文件，這表明Confluence實例正在被加密。且CVE-2022-26134 POC漏洞的發布與Cerber勒索軟件攻擊成功次數的增加同時發生。

微軟周五晚上還證實，他們已經看到Confluence服務器被利用來安裝Cerber2021勒索軟件。Cerber此前曾于2021年12月使用CVE-2021-26084漏洞攻擊全球范圍內的Confluence 服務器，該漏洞允許未經身份驗證的攻擊者在易受攻擊的系統上遠程執行代碼。網絡安全公司Volexity上周將CVE-2022-26134歸為一個被積極利用的零日漏洞，CISA還命令聯邦機構通過阻止其網絡上Confluence服務器的所有互聯網流量來緩解該漏洞。在漏洞信息發布一天后，Atlassian發布了安全更新并敦促其客戶及時更新補丁以阻止持續的攻擊發生。