מפעילי תוכנות זדוניות של כוורת תוקפות את שרתי Microsoft Exchange
מפעילי תוכנת כופר של כוורת תוקפים שרתי Microsoft Exchange שפגיעים לבעיות ה-ProxyShell הידועים לשמצה.
על מכונות שנפגעו, התוקפים פורסים דלתות אחוריות שונות, לְרַבּוֹת שביתת קובלט משואות, ואז לבצע סיור, לגנוב אישורים ומידע יקר ערך, ורק אז המשך להצפין קבצים.
גיבור, שחוקרים מה קורה לאחר מתקפת תוכנת כופר על אחד הלקוחות שלהם, הזהיר לגבי הנושא.
תן לי להזכיר לך שהחולשות, שנקראו ביחד ProxyShell, נודע בקיץ של 2021.
תן לי להזכיר לך את זה אָנוּ, לדוגמה, דיברו על הנסיטור תוכנות זדוניות, שמשתמש בדוא"ל דיוג, אישורים שנפגעו, או RDP לאלץ גס לגשת למכונות Windows פגיעות ולנצל פגיעויות ב-Microsoft Exchange.
קוֹדֶם, באגים של ProxyShell כבר היו בשימוש על ידי תוקפים רבים, כולל קבוצות פריצה ידועות כמו קונטי, BlackByte, באבוק, קובה ו LockFile. לצערי, ה כוורת התקפות מראות שעדיין לא כולם תיקנו את ProxyShell, ועדיין ניתן למצוא שרתים פגיעים ברשת.
לאחר ניצול באגים של ProxyShell, מפעילי כוורת מחדירים ארבע קונכיות אינטרנט לתוך ספריית Exchange נגישה ומפעילים קוד PowerShell עם הרשאות גבוהות, טוען קובלט סטרייק מדגים. החוקרים מציינים שקונכיות האינטרנט בהן נעשה שימוש בהתקפות אלו נלקחו מציבור Git מאגר ואז פשוט שונה שם כדי למנוע זיהוי.
על המכונות המותקפות, התוקפים משתמשים גם ב- מימיקץ infostealer כדי לגנוב את הסיסמה מחשבון מנהל הדומיין ולבצע תנועה לרוחב. בדרך זו, האקרים מחפשים את הנתונים היקרים ביותר כדי לאלץ את הקורבן לשלם כופר מאוחר יותר.
