HiveマルウェアオペレーターがMicrosoftExchangeサーバーを攻撃します
Hiveランサムウェアオペレーターは、悪名高いProxyShellの問題に対して脆弱なMicrosoftExchangeサーバーを攻撃します.
侵害されたマシン, 攻撃者はさまざまなバックドアを配備します, 含む コバルトストライク ビーコン, その後、偵察を行います, 資格情報と貴重な情報を盗む, その後、ファイルの暗号化に進みます.
ヒーロー, 顧客の1人に対するランサムウェア攻撃の後に何が起こっているのかを調査している人, 問題について警告.
脆弱性を思い出させてください, 総称して ProxyShell, の夏に知られるようになりました 2021.
思い出させてください 私たち, 例えば, 話しました ハンシター マルウェア, フィッシングメールを使用します, 侵害された資格情報, またはブルートフォースRDPが脆弱なWindowsマシンにアクセスし、MicrosoftExchangeの脆弱性を悪用する.
以前, ProxyShellのバグはすでに多くの攻撃者によって使用されています, 次のような有名なハックグループを含む コンティ, BlackByte, バブク, キューバ そして LockFile. 不運にも, インクルード ハイブ 攻撃は、まだ全員がProxyShellにパッチを適用しているわけではないことを示しています, 脆弱なサーバーはまだネットワーク上にあります.
ProxyShellのバグを悪用した後, Hiveオペレーターは、アクセス可能なExchangeディレクトリに4つのWebシェルを挿入し、高い特権でPowerShellコードを実行します, コバルトストライクステージャーの読み込み. 研究者は、これらの攻撃で使用されたWebシェルに注目しています 公衆から取られた ギット リポジトリ 検出を避けるために単に名前を変更しました.
攻撃されたマシンについて, 攻撃者も使用します ミミカッツ ドメイン管理者アカウントからパスワードを盗み、横方向の動きを実行するinfostealer. この上, ハッカーは、被害者に後で身代金を支払うように強制するために、最も価値のあるデータを探します.