हाइव मैलवेयर ऑपरेटर माइक्रोसॉफ्ट एक्सचेंज सर्वर पर हमला करते हैं
हाइव रैंसमवेयर ऑपरेटर माइक्रोसॉफ्ट एक्सचेंज सर्वर पर हमला करते हैं जो कुख्यात प्रॉक्सीशेल समस्याओं के प्रति संवेदनशील हैं.
समझौताशुदा मशीनों पर, हमलावर विभिन्न पिछले दरवाजे तैनात करते हैं, शामिल कोबाल्ट स्ट्राइक बीकन, फिर टोह लेना, क्रेडेंशियल्स और बहुमूल्य जानकारी चुराएं, और उसके बाद ही फ़ाइलों को एन्क्रिप्ट करने के लिए आगे बढ़ें.
नायक, जो जांच कर रहे हैं कि उनके एक ग्राहक पर रैंसमवेयर हमले के बाद क्या हो रहा है, मुद्दे के बारे में चेतावनी दी.
मैं आपको कमजोरियों की याद दिला दूं, जिसे सामूहिक रूप से बुलाया गया प्रॉक्सीशेल, की गर्मियों में ज्ञात हुआ 2021.
मैं आपको वह याद दिला दूं हम, उदाहरण के लिए, के बारे में बात की हॅन्सिटर मैलवेयर, जो फ़िशिंग ईमेल का उपयोग करता है, साख से समझौता किया गया, या आरडीपी को कमजोर विंडोज मशीनों तक पहुंचने के लिए मजबूर करना और माइक्रोसॉफ्ट एक्सचेंज में कमजोरियों का फायदा उठाना.
इससे पहले, ProxyShell बग का उपयोग पहले से ही कई हमलावरों द्वारा किया जा चुका है, जैसे जाने-माने हैक ग्रुप भी शामिल हैं कोंटी, ब्लैकबाइट, धूल, क्यूबा और लॉकफ़ाइल. दुर्भाग्य से, the मधुमुखी का छत्ता हमलों से पता चलता है कि सभी ने अभी तक ProxyShell को पैच नहीं किया है, और असुरक्षित सर्वर अभी भी नेटवर्क पर पाए जा सकते हैं.
ProxyShell बग्स का शोषण करने के बाद, हाइव ऑपरेटर एक सुलभ एक्सचेंज निर्देशिका में चार वेब शेल इंजेक्ट करते हैं और उच्च विशेषाधिकारों के साथ पावरशेल कोड निष्पादित करते हैं, कोबाल्ट स्ट्राइक स्टेजर्स लोड हो रहा है. शोधकर्ताओं ने ध्यान दिया कि इन हमलों में वेब शेल का इस्तेमाल किया गया था जनता से लिए गए थे गिट कोष और फिर पहचान से बचने के लिए बस नाम बदल दिया गया.
हमला की गई मशीनों पर, हमलावर भी इसका उपयोग करते हैं नकलची डोमेन व्यवस्थापक खाते से पासवर्ड चुराने और पार्श्व गतिविधि करने के लिए इन्फोस्टीलर. इस प्रकार से, हैकर्स पीड़ित को बाद में फिरौती देने के लिए मजबूर करने के लिए सबसे मूल्यवान डेटा की तलाश करते हैं.
