HiveマルウェアオペレーターがMicrosoftExchangeサーバーを攻撃します

Hiveランサムウェアオペレーターは、悪名高いProxyShellの問題に対して脆弱なMicrosoftExchangeサーバーを攻撃します.

侵害されたマシン, 攻撃者はさまざまなバックドアを配備します, 含む コバルトストライク ビーコン, その後、偵察を行います, 資格情報と貴重な情報を盗む, その後、ファイルの暗号化に進みます.

ヒーロー, 顧客の1人に対するランサムウェア攻撃の後に何が起こっているのかを調査している人, 問題について警告.

脆弱性を思い出させてください, 総称して ProxyShell, の夏に知られるようになりました 2021.

ProxyShellは、認証なしでリモートコード実行を可能にする3つの脆弱性を組み合わせています マイクロソフト Exchangeサーバー. これらの脆弱性は、MicrosoftExchangeクライアントアクセスサービスを悪用します (CAS) ポートで実行 443.

思い出させてください 私たち, 例えば, 話しました ハンシター マルウェア, フィッシングメールを使用します, 侵害された資格情報, またはブルートフォースRDPが脆弱なWindowsマシンにアクセスし、MicrosoftExchangeの脆弱性を悪用する.

以前, ProxyShellのバグはすでに多くの攻撃者によって使用されています, 次のような有名なハックグループを含む コンティ, BlackByte, バブク, キューバ そして LockFile. 不運にも, インクルード ハイブ 攻撃は、まだ全員がProxyShellにパッチを適用しているわけではないことを示しています, 脆弱なサーバーはまだネットワーク上にあります.

ProxyShellのバグを悪用した後, Hiveオペレーターは、アクセス可能なExchangeディレクトリに4つのWebシェルを挿入し、高い特権でPowerShellコードを実行します, コバルトストライクステージャーの読み込み. 研究者は、これらの攻撃で使用されたWebシェルに注目しています 公衆から取られた ギット リポジトリ 検出を避けるために単に名前を変更しました.

攻撃されたマシンについて, 攻撃者も使用します ミミカッツ ドメイン管理者アカウントからパスワードを盗み、横方向の動きを実行するinfostealer. この上, ハッカーは、被害者に後で身代金を支払うように強制するために、最も価値のあるデータを探します.

加えて, リモートネットワークスキャナーの残骸を検出することができました, IPアドレスのリスト, デバイスとディレクトリ, バックアップサーバーのRDP, SQLデータベーススキャンなど.ヒーローアナリストは書く.
すべての貴重なファイルが正常に盗まれた後でのみ, ランサムウェアのペイロード (Windows.exeという名前) 展開されます. ファイルを暗号化する直前, Golangペイロードもシャドウコピーを削除します, WindowsDefenderを無効にします, Windowsイベントログをクリアします, ファイルリンクプロセスを強制終了します, アラートを無効にするためにセキュリティアカウントマネージャーを停止します.

ヘルガ・スミス

ずっとコンピューターサイエンスに興味がありました, 特にデータセキュリティとテーマ, 現在と呼ばれている "データサイエンス", 10代前半から. 編集長としてウイルス駆除チームに参加する前に, 私はいくつかの企業でサイバーセキュリティの専門家として働いていました, Amazonの請負業者の1つを含む. 別の経験: 私はアーデン大学とレディング大学で教えています.

返信を残します

このサイトは、スパムを減らすためにアキスメットを使用しています. あなたのコメントデータが処理される方法を学びます.

トップに戻るボタン