Οι χειριστές κακόβουλου λογισμικού Hive επιτίθενται σε διακομιστές Microsoft Exchange

Οι χειριστές Hive ransomware επιτίθενται σε διακομιστές Microsoft Exchange που είναι ευάλωτοι στα περιβόητα προβλήματα ProxyShell.

Σε υποβαθμισμένα μηχανήματα, οι επιτιθέμενοι αναπτύσσουν διάφορες κερκόπορτες, συμπεριλαμβανομένου Cobalt Strike φάρους, στη συνέχεια διεξάγουν αναγνώριση, κλέψουν διαπιστευτήρια και πολύτιμες πληροφορίες, και μόνο τότε προχωρήστε στην κρυπτογράφηση αρχείων.

Ήρωας, που ερευνούν τι συμβαίνει μετά από μια επίθεση ransomware σε έναν από τους πελάτες τους, προειδοποίησε για το θέμα.

Να σας θυμίσω ότι τα τρωτά σημεία, που ονομάζονταν συλλογικά ProxyShell, έγινε γνωστό το καλοκαίρι του 2021.

Το ProxyShell συνδυάζει τρία τρωτά σημεία που επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα χωρίς έλεγχο ταυτότητας Microsoft Διακομιστές Exchange. Αυτά τα τρωτά σημεία εκμεταλλεύονται την υπηρεσία πρόσβασης πελάτη του Microsoft Exchange (CAS) τρέχει στο λιμάνι 443.

Επιτρέψτε μου να σας το υπενθυμίσω αυτό εμείς, για παράδειγμα, μίλησε για Hancitor κακόβουλο λογισμικό, που χρησιμοποιεί μηνύματα ηλεκτρονικού ψαρέματος, παραβιασμένα διαπιστευτήρια, ή βίαιο εξαναγκασμό RDP για πρόσβαση σε ευάλωτες μηχανές Windows και εκμεταλλεύεται ευπάθειες στο Microsoft Exchange.

Προηγουμένως, Τα σφάλματα ProxyShell έχουν ήδη χρησιμοποιηθεί από πολλούς εισβολείς, συμπεριλαμβανομένων γνωστών ομάδων hack όπως Conti, BlackByte, Μπαμπούκ, Κούβα και LockFile. Δυστυχώς, ο Κυψέλη Οι επιθέσεις δείχνουν ότι δεν έχουν επιδιορθώσει ακόμη όλοι το ProxyShell, και ευάλωτοι διακομιστές εξακολουθούν να βρίσκονται στο δίκτυο.

Μετά την εκμετάλλευση σφαλμάτων ProxyShell, Οι χειριστές Hive εισάγουν τέσσερα κελύφη Ιστού σε έναν προσβάσιμο κατάλογο Exchange και εκτελούν τον κώδικα PowerShell με υψηλά προνόμια, loading Cobalt Strike stagers. Οι ερευνητές σημειώνουν ότι τα κελύφη Ιστού που χρησιμοποιούνται σε αυτές τις επιθέσεις ελήφθησαν από κοινό Git αποθήκη και μετά απλά μετονομάστηκε για να αποφευχθεί ο εντοπισμός.

Στις επιτιθέμενες μηχανές, οι επιτιθέμενοι χρησιμοποιούν επίσης το Μιμικάτζ infostealer για να κλέψει τον κωδικό πρόσβασης από τον λογαριασμό διαχειριστή τομέα και να εκτελέσει μια πλευρική κίνηση. Με αυτόν τον τρόπο, οι χάκερ αναζητούν τα πιο πολύτιμα δεδομένα για να αναγκάσουν το θύμα να πληρώσει λύτρα αργότερα.

Επιπλέον, μπορέσαμε να εντοπίσουμε υπολείμματα απομακρυσμένων σαρωτών δικτύου, λίστες διευθύνσεων IP, συσκευές και καταλόγους, RDP για εφεδρικούς διακομιστές, Σαρώσεις βάσης δεδομένων SQL και πολλά άλλα.Γράφουν οι αναλυτές των ηρώων.
Μόνο αφού κλαπούν επιτυχώς όλα τα πολύτιμα αρχεία, το ωφέλιμο φορτίο ransomware (με το όνομα Windows.exe) έχει αναπτυχθεί. Λίγο πριν από την κρυπτογράφηση αρχείων, ένα ωφέλιμο φορτίο Golang αφαιρεί επίσης τα σκιερά αντίγραφα, απενεργοποιεί το Windows Defender, διαγράφει τα αρχεία καταγραφής συμβάντων των Windows, σκοτώνει τις διαδικασίες σύνδεσης αρχείων, και σταματά τη Διαχείριση λογαριασμών ασφαλείας να απενεργοποιεί τις ειδοποιήσεις.

Helga Smith

Ενδιαφέρομαι πάντα για τις επιστήμες των υπολογιστών, ειδικά την ασφάλεια δεδομένων και το θέμα, που ονομάζεται σήμερα "επιστημονικά δεδομένα", από τα πρώτα μου χρόνια. Πριν μπείτε στην ομάδα κατάργησης ιών ως αρχισυντάκτης, Εργάστηκα ως ειδικός στον τομέα της ασφάλειας στον κυβερνοχώρο σε πολλές εταιρείες, συμπεριλαμβανομένου ενός από τους εργολάβους της Amazon. Μια άλλη εμπειρία: Έχω διδάξει σε πανεπιστήμια Arden και Reading.

Αφήστε μια απάντηση

Αυτό το site χρησιμοποιεί Akismet να μειώσει το spam. Μάθετε πώς γίνεται επεξεργασία των δεδομένων σας σχόλιο.

Κουμπί Επιστροφή στην κορυφή