Gli operatori di malware Hive attaccano i server Microsoft Exchange

Helga Smithaprile 24, 2022Ultimo aggiornamento: aprile 24, 2022
27 1 lettura minuto

Gli operatori di ransomware Hive attaccano i server Microsoft Exchange che sono vulnerabili ai famigerati problemi di ProxyShell.

Su macchine compromesse, gli aggressori schierano varie backdoor, Compreso Colpo di cobalto fari, quindi condurre la ricognizione, rubare credenziali e informazioni preziose, e solo allora procedi alla crittografia dei file.

Eroe, che stanno indagando su cosa sta succedendo dopo un attacco ransomware a uno dei loro clienti, avvertito del problema.

Lascia che ti ricordi che le vulnerabilità, che sono stati chiamati collettivamente ProxyShell, divenne noto nell'estate del 2021.

ProxyShell combina tre vulnerabilità che consentono l'esecuzione di codice in modalità remota senza autenticazione attiva Microsoft Server di scambio. Queste vulnerabilità sfruttano il servizio di accesso client di Microsoft Exchange (CAS) in esecuzione in porto 443.

Lascia che te lo ricordi noi, per esempio, parlato di Hancitor il malware, che utilizza le email di phishing, credenziali compromesse, o forza bruta RDP per accedere a macchine Windows vulnerabili e sfruttare le vulnerabilità in Microsoft Exchange.

In precedenza, I bug di ProxyShell sono già stati utilizzati da molti attaccanti, compresi gruppi di hacker famosi come Conti, BlackByte, Babuk, Cuba e LockFile. Sfortunatamente, il Alveare gli attacchi mostrano che non tutti hanno ancora patchato ProxyShell, e i server vulnerabili possono ancora essere trovati sulla rete.

Dopo aver sfruttato i bug di ProxyShell, Gli operatori Hive iniettano quattro shell Web in una directory di Exchange accessibile ed eseguono il codice PowerShell con privilegi elevati, caricamento degli stager Cobalt Strike. I ricercatori notano che le shell web utilizzate in questi attacchi sono stati presi da un pubblico Idiota deposito e poi semplicemente rinominato per evitare il rilevamento.

Sulle macchine attaccate, gli aggressori usano anche il Mimikatz infostealer per rubare la password dall'account dell'amministratore di dominio ed eseguire uno spostamento laterale. In questo modo, gli hacker cercano i dati più preziosi per costringere la vittima a pagare un riscatto in un secondo momento.

Inoltre, siamo stati in grado di rilevare i resti di scanner di rete remoti, elenchi di indirizzi IP, dispositivi e directory, RDP per i server di backup, Scansioni di database SQL e molto altro.Gli analisti dell'eroe scrivono.
Solo dopo che tutti i file preziosi sono stati rubati con successo, il carico utile del ransomware (denominato Windows.exe) è schierato. Poco prima di crittografare i file, un payload Golang rimuove anche le copie shadow, disabilita Windows Defender, cancella i registri eventi di Windows, uccide i processi di collegamento dei file, e interrompe Security Account Manager per disabilitare gli avvisi.
tag
Helga Smithaprile 24, 2022Ultimo aggiornamento: aprile 24, 2022
27 1 lettura minuto

Helga Smith

Sono sempre stato interessato all'informatica, in particolare la sicurezza dei dati e il tema, che si chiama oggi "scienza dei dati", dalla mia prima adolescenza. Prima di entrare nel team di rimozione virus come caporedattore, Ho lavorato come esperto di sicurezza informatica in diverse aziende, incluso uno degli appaltatori di Amazon. Un'altra esperienza: Ho l'insegnamento nelle università di Arden e Reading.

lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come il tuo commento dati vengono elaborati.

Pulsante Torna in alto