Hive malware-operatører angriber Microsoft Exchange-servere

Helga SmithApril 24, 2022Sidst opdateret: April 24, 2022
27 1 minuts læsning

Hive ransomware-operatører angriber Microsoft Exchange-servere, der er sårbare over for de berygtede ProxyShell-problemer.

På kompromitterede maskiner, angribere indsætter forskellige bagdøre, inklusive Koboltstrejke beacons, derefter foretage rekognoscering, stjæle legitimationsoplysninger og værdifuld information, og kun derefter fortsætte med at kryptere filer.

Helt, som undersøger, hvad der sker efter et ransomware-angreb på en af ​​deres kunder, advaret om problemet.

Lad mig minde dig om, at sårbarhederne, som under ét blev kaldt ProxyShell, blev kendt i sommeren 2021.

ProxyShell kombinerer tre sårbarheder, der tillader fjernudførelse af kode uden godkendelse slået til Microsoft Exchange-servere. Disse sårbarheder udnytter Microsoft Exchange Client Access Service (CAS) kører på havn 443.

Lad mig minde dig om det vi, for eksempel, snakkede om Hancitor malware, som bruger phishing-e-mails, kompromitterede legitimationsoplysninger, eller brute-forcer RDP til at få adgang til sårbare Windows-maskiner og udnytter sårbarheder i Microsoft Exchange.

Tidligere, ProxyShell-fejl er allerede blevet brugt af mange angribere, herunder så velkendte hack grupper som Conti, BlackByte, Babuk, Cuba og Lås fil. uheldigvis, det Hive angreb viser, at ikke alle har patchet ProxyShell endnu, og sårbare servere kan stadig findes på netværket.

Efter at have udnyttet ProxyShell-fejl, Hive-operatører injicerer fire web-skaller i en tilgængelig Exchange-mappe og udfører PowerShell-kode med høje privilegier, læsning af Cobalt Strike stagers. Forskerne bemærker, at de web-skaller, der blev brugt i disse angreb blev taget fra en offentlighed Git depot og derefter blot omdøbt for at undgå opdagelse.

På de angrebne maskiner, angriberne bruger også Mimikatz infostealer til at stjæle adgangskoden fra domæneadministratorkontoen og udføre en sidebevægelse. På denne måde, hackere leder efter de mest værdifulde data for at tvinge ofret til at betale en løsesum senere.

Desuden, vi var i stand til at opdage rester af fjernnetværksscannere, lister over IP-adresser, enheder og mapper, RDP til backup-servere, SQL database scanninger og meget mere.Det skriver helteanalytikere.
Først efter at alle værdifulde filer er blevet stjålet, ransomware nyttelasten (kaldet Windows.exe) er indsat. Lige før du krypterer filer, en Golang-nyttelast fjerner også skyggekopier, deaktiverer Windows Defender, rydder Windows hændelseslogfiler, dræber filforbindelsesprocesser, og stopper Security Account Manager for at deaktivere alarmer.
Mærker
Helga SmithApril 24, 2022Sidst opdateret: April 24, 2022
27 1 minuts læsning

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap