Les opérateurs de logiciels malveillants Hive attaquent les serveurs Microsoft Exchange

Helga Smithavril 24, 2022Dernière mise à jour: avril 24, 2022
27 Temps de lecture 1 minute

Les opérateurs de ransomware Hive attaquent les serveurs Microsoft Exchange qui sont vulnérables aux problèmes notoires de ProxyShell.

Sur les machines compromises, les attaquants déploient diverses portes dérobées, comprenant Frappe au cobalt balises, puis faire une reconnaissance, voler des informations d'identification et des informations précieuses, et ensuite seulement procéder au cryptage des fichiers.

héros, qui enquêtent sur ce qui se passe après une attaque de ransomware contre l'un de leurs clients, averti du problème.

Permettez-moi de vous rappeler que les vulnérabilités, qui s'appelaient collectivement ProxyShell, s'est fait connaître à l'été 2021.

ProxyShell combine trois vulnérabilités qui permettent l'exécution de code à distance sans authentification sur Microsoft Serveurs d'échange. Ces vulnérabilités exploitent le service d'accès client Microsoft Exchange (CAS) en cours d'exécution sur le port 443.

Permettez-moi de vous rappeler que nous, par example, parlé de Hancitor les logiciels malveillants, qui utilise des e-mails de phishing, identifiants compromis, ou RDP de force brute pour accéder aux machines Windows vulnérables et exploiter les vulnérabilités dans Microsoft Exchange.

Précédemment, Les bugs ProxyShell ont déjà été utilisés par de nombreux attaquants, y compris des groupes de piratage bien connus comme Conti, BlackByte, Babouk, Cuba et VerrouillerFichier. Malheureusement, la Ruche les attaques montrent que tout le monde n'a pas encore patché ProxyShell, et des serveurs vulnérables peuvent toujours être trouvés sur le réseau.

Après avoir exploité les bogues de ProxyShell, Les opérateurs Hive injectent quatre shells Web dans un répertoire Exchange accessible et exécutent du code PowerShell avec des privilèges élevés, chargement des stagers Cobalt Strike. Les chercheurs notent que les shells Web utilisés dans ces attaques ont été prises d'un public Gite dépôt puis simplement renommé pour éviter la détection.

Sur les machines attaquées, les attaquants utilisent également le Mimikatz infostealer pour voler le mot de passe du compte administrateur du domaine et effectuer un mouvement latéral. De cette façon, les pirates recherchent les données les plus précieuses afin de forcer la victime à payer une rançon plus tard.

en outre, nous avons pu détecter des restes de scanners réseau distants, listes d'adresses IP, périphériques et répertoires, RDP pour les serveurs de sauvegarde, Analyses de bases de données SQL et bien plus encore.Les analystes de Hero écrivent.
Seulement après que tous les fichiers précieux ont été volés avec succès, la charge utile du rançongiciel (nommé Windows.exe) est déployé. Juste avant de chiffrer les fichiers, une charge utile Golang supprime également les clichés instantanés, désactive Windows Defender, efface les journaux d'événements Windows, tue les processus de liaison de fichiers, et arrête le gestionnaire de comptes de sécurité pour désactiver les alertes.
Mots clés
Helga Smithavril 24, 2022Dernière mise à jour: avril 24, 2022
27 Temps de lecture 1 minute

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page