Hive-haittaohjelmaoperaattorit hyökkäävät Microsoft Exchange -palvelimia vastaan

Helga Smithhuhtikuu 24, 2022Viimeksi päivitetty: huhtikuu 24, 2022
27 1 minuutti luettu

Hive ransomware -operaattorit hyökkäävät Microsoft Exchange -palvelimia vastaan, jotka ovat alttiina pahamaineisille ProxyShell-ongelmille.

Vaarallisiin koneisiin, hyökkääjät käyttävät erilaisia ​​takaovia, mukaan lukien Kobolttilakko majakat, sitten tehdä tiedustelu, varastaa valtuustietoja ja arvokasta tietoa, ja vasta sitten jatka tiedostojen salaamista.

Sankari, jotka tutkivat, mitä tapahtuu lunnasohjelmahyökkäyksen jälkeen johonkin heidän asiakkaistaan, varoitti ongelmasta.

Haluan muistuttaa, että haavoittuvuuksia, joita kutsuttiin yhteisesti ProxyShell, tuli tunnetuksi kesällä 2021.

ProxyShell yhdistää kolme haavoittuvuutta, jotka mahdollistavat koodin etäsuorittamisen ilman todennusta Microsoft Exchange-palvelimet. Nämä haavoittuvuudet käyttävät hyväkseen Microsoft Exchange Client Access Service -palvelua (CAS) käynnissä portissa 443.

Haluan muistuttaa teitä siitä me, esimerkiksi, puhui Hancitor haittaohjelmat, joka käyttää tietojenkalasteluviestejä, vaarantuneet tunnistetiedot, tai raa'alla pakottamalla RDP:tä käyttämään haavoittuvia Windows-koneita ja hyödyntämään Microsoft Exchangen haavoittuvuuksia.

Aiemmin, Monet hyökkääjät ovat jo käyttäneet ProxyShell-bugeja, mukaan lukien tunnetut hakkerointiryhmät, kuten Conti, BlackByte, Babuk, Kuuba ja LockFile. valitettavasti, the Pesä Hyökkäykset osoittavat, että kaikki eivät ole vielä korjanneet ProxyShellia, ja haavoittuvia palvelimia löytyy edelleen verkosta.

ProxyShell-virheiden hyödyntämisen jälkeen, Hive-operaattorit ruiskuttavat neljä web-kuorta saavutettavaan Exchange-hakemistoon ja suorittavat PowerShell-koodin korkeilla oikeuksilla, ladataan Cobalt Strike -lavalaitteita. Tutkijat huomauttavat, että web-kuoret käytettiin näissä hyökkäyksissä otettiin yleisöltä Git arkisto ja nimettiin sitten uudelleen havaitsemisen välttämiseksi.

Hyökkäyksissä oleviin koneisiin, hyökkääjät käyttävät myös Mimikatz infostealer varastaa salasanan verkkotunnuksen järjestelmänvalvojan tililtä ja suorittaa sivuttaisliikkeen. Tällä tavalla, hakkerit etsivät arvokkainta dataa pakottaakseen uhrin maksamaan lunnaita myöhemmin.

Lisäksi, pystyimme havaitsemaan etäverkkoskannerien jäänteitä, IP-osoitteiden luettelot, laitteet ja hakemistot, RDP varmuuskopiopalvelimille, SQL-tietokantatarkistukset ja paljon muuta.Hero analyytikot kirjoittavat.
Vasta sen jälkeen, kun kaikki arvokkaat tiedostot on varastettu onnistuneesti, lunnasohjelmien hyötykuorma (nimeltä Windows.exe) on otettu käyttöön. Juuri ennen tiedostojen salaamista, Golang-hyötykuorma poistaa myös varjokopiot, poistaa Windows Defenderin käytöstä, tyhjentää Windowsin tapahtumalokit, tappaa tiedostojen linkitysprosessit, ja pysäyttää Security Accounts Managerin poistamaan hälytykset käytöstä.
Tunnisteet
Helga Smithhuhtikuu 24, 2022Viimeksi päivitetty: huhtikuu 24, 2022
27 1 minuutti luettu

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike