Operátoři úlového malwaru útočí na servery Microsoft Exchange

Helga Smithduben 24, 2022Naposledy aktualizováno: duben 24, 2022
27 1 minutové čtení

Operátoři úlového ransomwaru útočí na servery Microsoft Exchange, které jsou zranitelné vůči notoricky známým problémům s prostředím ProxyShell.

Na kompromitovaných strojích, útočníci nasazují různá zadní vrátka, počítaje v to Cobalt Strike majáky, pak provést průzkum, ukrást přihlašovací údaje a cenné informace, a teprve poté pokračujte v šifrování souborů.

Hrdina, kteří vyšetřují, co se děje po útoku ransomwaru na jednoho z jejich zákazníků, na problém upozornil.

Dovolte mi připomenout, že zranitelnosti, které se souhrnně nazývaly ProxyShell, se stal známým v létě roku 2021.

ProxyShell kombinuje tři chyby zabezpečení, které umožňují vzdálené spuštění kódu bez zapnutého ověřování Microsoft Exchange servery. Tyto chyby zabezpečení zneužívají službu Microsoft Exchange Client Access Service (CAS) běžící na portu 443.

Připomenu vám to my, například, mluvil o Hancitor malware, který využívá phishingové e-maily, kompromitované přihlašovací údaje, nebo hrubé vynucení RDP pro přístup k zranitelným počítačům se systémem Windows a zneužívání zranitelností v Microsoft Exchange.

Dříve, Chyby ProxyShellu již využilo mnoho útočníků, včetně takových známých hackerských skupin jako Conti, BlackByte, Babuk, Kuba a LockFile. bohužel, the Úl útoky ukazují, že ještě ne každý opravoval ProxyShell, a zranitelné servery lze v síti stále nalézt.

Po zneužití chyb ProxyShell, Operátoři podregistru vloží čtyři webové shelly do přístupného adresáře Exchange a spouštějí kód PowerShellu s vysokými oprávněními, loading Cobalt Strike stagers. Výzkumníci poznamenávají, že webové skořápky použité při těchto útocích byly odebrány veřejnosti Git úložiště a poté jednoduše přejmenovat, aby se zabránilo detekci.

Na napadených strojích, útočníci také používají Mimikatz infostealer k odcizení hesla z účtu správce domény a provedení bočního pohybu. Takto, hackeři hledají ta nejcennější data, aby donutili oběť později zaplatit výkupné.

Dále, podařilo se nám odhalit zbytky vzdálených síťových skenerů, seznamy IP adres, zařízení a adresáře, RDP pro záložní servery, Skenování SQL databáze a mnoho dalšího.Píšou hrdinové analytici.
Teprve poté, co byly všechny cenné soubory úspěšně odcizeny, užitečné zatížení ransomwaru (s názvem Windows.exe) je nasazen. Těsně před šifrováním souborů, užitečné zatížení Golang také odstraňuje stínové kopie, zakáže program Windows Defender, vymaže protokoly událostí systému Windows, zabíjí procesy propojování souborů, a zastaví Správce bezpečnostních účtů, aby zakázal výstrahy.
Značky
Helga Smithduben 24, 2022Naposledy aktualizováno: duben 24, 2022
27 1 minutové čtení

Helga Smith

Vždy mě zajímaly počítačové vědy, zejména zabezpečení dat a téma, kterému se dnes říká "datová věda", od mých raných dospívajících. Před příchodem do týmu pro odstranění virů jako šéfredaktor, Pracoval jsem jako odborník na kybernetickou bezpečnost v několika společnostech, včetně jednoho z dodavatelů Amazonu. Další zkušenost: Mám výuku na univerzitách Arden a Reading.

zanechte odpověď

Tato stránka používá Akismet snížit spam. Přečtěte si, jak se váš komentář údaje zpracovávány.

Tlačítko Zpět nahoru