מפעילי תוכנות זדוניות של כוורת תוקפות את שרתי Microsoft Exchange

מפעילי תוכנת כופר של כוורת תוקפים שרתי Microsoft Exchange שפגיעים לבעיות ה-ProxyShell הידועים לשמצה.

על מכונות שנפגעו, התוקפים פורסים דלתות אחוריות שונות, לְרַבּוֹת שביתת קובלט משואות, ואז לבצע סיור, לגנוב אישורים ומידע יקר ערך, ורק אז המשך להצפין קבצים.

גיבור, שחוקרים מה קורה לאחר מתקפת תוכנת כופר על אחד הלקוחות שלהם, הזהיר לגבי הנושא.

תן לי להזכיר לך שהחולשות, שנקראו ביחד ProxyShell, נודע בקיץ של 2021.

ProxyShell משלב שלוש נקודות תורפה המאפשרות ביצוע קוד מרחוק ללא אימות מופעל מיקרוסופט שרתי Exchange. פגיעויות אלו מנצלות את שירות הגישה ללקוח של Microsoft Exchange (CAS) פועל על הנמל 443.

תן לי להזכיר לך את זה אָנוּ, לדוגמה, דיברו על הנסיטור תוכנות זדוניות, שמשתמש בדוא"ל דיוג, אישורים שנפגעו, או RDP לאלץ גס לגשת למכונות Windows פגיעות ולנצל פגיעויות ב-Microsoft Exchange.

קוֹדֶם, באגים של ProxyShell כבר היו בשימוש על ידי תוקפים רבים, כולל קבוצות פריצה ידועות כמו קונטי, BlackByte, באבוק, קובה ו LockFile. לצערי, ה כוורת התקפות מראות שעדיין לא כולם תיקנו את ProxyShell, ועדיין ניתן למצוא שרתים פגיעים ברשת.

לאחר ניצול באגים של ProxyShell, מפעילי כוורת מחדירים ארבע קונכיות אינטרנט לתוך ספריית Exchange נגישה ומפעילים קוד PowerShell עם הרשאות גבוהות, טוען קובלט סטרייק מדגים. החוקרים מציינים שקונכיות האינטרנט בהן נעשה שימוש בהתקפות אלו נלקחו מציבור Git מאגר ואז פשוט שונה שם כדי למנוע זיהוי.

על המכונות המותקפות, התוקפים משתמשים גם ב- מימיקץ infostealer כדי לגנוב את הסיסמה מחשבון מנהל הדומיין ולבצע תנועה לרוחב. בדרך זו, האקרים מחפשים את הנתונים היקרים ביותר כדי לאלץ את הקורבן לשלם כופר מאוחר יותר.

בנוסף, הצלחנו לזהות שאריות של סורקי רשת מרוחקים, רשימות של כתובות IP, מכשירים וספריות, RDP לשרתי גיבוי, סריקות מסדי נתונים של SQL ועוד הרבה יותר.כותבים אנליסטים של גיבורים.
רק לאחר שכל הקבצים יקרי הערך נגנבו בהצלחה, מטען הכופר (בשם Windows.exe) פרוס. רגע לפני הצפנת קבצים, מטען גולנג מסיר גם עותקי צללים, משבית את Windows Defender, מנקה יומני אירועים של Windows, הורג תהליכי קישור לקבצים, ומפסיק את מנהל חשבונות האבטחה להשבית התראות.

הלגה סמית '

תמיד התעניינתי במדעי המחשב, במיוחד אבטחת נתונים והנושא, שנקרא בימינו "מדע נתונים", מאז שנות העשרה המוקדמות שלי. לפני שנכנסתי לצוות הסרת וירוסים כעורך ראשי, עבדתי כמומחה לאבטחת סייבר בכמה חברות, כולל אחד מקבלני אמזון. חוויה נוספת: יש לי ללמד באוניברסיטאות ארדן ורידינג.

השאר תגובה

אתר זה משתמש Akismet להפחית זבל. למד כיצד נתוני תגובתך מעובד.

כפתור חזרה למעלה