Hive-Malware-Betreiber greifen Microsoft Exchange-Server an

Helga SmithApril 24, 2022Letztes Update April 24, 2022
27 1 Minute Lesezeit

Hive-Ransomware-Betreiber greifen Microsoft Exchange-Server an, die für die berüchtigten ProxyShell-Probleme anfällig sind.

Auf kompromittierten Maschinen, Angreifer setzen verschiedene Hintertüren ein, einschließlich Kobaltschlag Leuchtfeuer, dann Aufklärung durchführen, Zugangsdaten und wertvolle Informationen stehlen, und erst dann mit dem Verschlüsseln von Dateien fortfahren.

Held, die untersuchen, was nach einem Ransomware-Angriff auf einen ihrer Kunden passiert, vor dem Problem gewarnt.

Ich möchte Sie daran erinnern, dass die Schwachstellen, die gemeinsam genannt wurden ProxyShell, wurde im Sommer bekannt 2021.

ProxyShell kombiniert drei Sicherheitslücken, die eine Remotecodeausführung ohne aktivierte Authentifizierung ermöglichen Microsoft Exchange-Server. Diese Schwachstellen nutzen den Microsoft Exchange Client Access Service aus (CAS) läuft am Hafen 443.

Lass mich dich daran erinnern wir, beispielsweise, sprach über Hancitor Malware, die Phishing-E-Mails verwendet, kompromittierte Zugangsdaten, oder Brute-Force-RDP, um auf anfällige Windows-Rechner zuzugreifen und Schwachstellen in Microsoft Exchange auszunutzen.

Vorher, ProxyShell-Bugs wurden bereits von vielen Angreifern ausgenutzt, einschließlich so bekannter Hackergruppen wie Fortsetzung, BlackByte, Babuk, Kuba und Sperrdatei. Unglücklicherweise, das Bienenstock Angriffe zeigen, dass noch nicht jeder ProxyShell gepatcht hat, und anfällige Server können immer noch im Netzwerk gefunden werden.

Nach dem Ausnutzen von ProxyShell-Fehlern, Hive-Operatoren injizieren vier Web-Shells in ein zugängliches Exchange-Verzeichnis und führen PowerShell-Code mit hohen Privilegien aus, Laden von Cobalt Strike Stagern. Die Forscher stellen fest, dass die Web-Shells bei diesen Angriffen verwendet werden wurden einer Öffentlichkeit entnommen Git Repository und dann einfach umbenannt, um eine Erkennung zu vermeiden.

Auf den angegriffenen Maschinen, die Angreifer verwenden auch die Mimikatz infostealer, um das Passwort aus dem Domänenadministratorkonto zu stehlen und eine seitliche Bewegung durchzuführen. Auf diese Weise, Hacker suchen nach den wertvollsten Daten, um das Opfer später zur Zahlung eines Lösegelds zu zwingen.

In Ergänzung, Wir konnten Reste von entfernten Netzwerkscannern erkennen, Listen von IP-Adressen, Geräte und Verzeichnisse, RDP für Backup-Server, SQL-Datenbank-Scans und vieles mehr.Hero-Analysten schreiben.
Erst nachdem alle wertvollen Dateien erfolgreich gestohlen wurden, die Ransomware-Payload (mit dem Namen Windows.exe) eingesetzt wird. Kurz vor dem Verschlüsseln von Dateien, Eine Golang-Payload entfernt auch Schattenkopien, deaktiviert Windows Defender, löscht Windows-Ereignisprotokolle, beendet Dateiverknüpfungsprozesse, und stoppt den Security Accounts Manager, um Warnungen zu deaktivieren.
Schlagwörter
Helga SmithApril 24, 2022Letztes Update April 24, 2022
27 1 Minute Lesezeit

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"