Hive 맬웨어 운영자가 Microsoft Exchange 서버를 공격합니다.

헬가 스미스4 월 24, 2022마지막 업데이트: 4 월 24, 2022
27 1 분 읽기

Hive 랜섬웨어 운영자는 악명 높은 ProxyShell 문제에 취약한 Microsoft Exchange 서버를 공격합니다..

손상된 시스템에서, 공격자는 다양한 백도어를 배포합니다., 포함 코발트 스트라이크 비콘, 그런 다음 정찰을 수행, 자격 증명 및 귀중한 정보 도용, 그런 다음에만 파일 암호화를 진행하십시오..

영웅, 고객 중 한 명에 대한 랜섬웨어 공격 후 무슨 일이 일어나고 있는지 조사하는 사람, 문제에 대해 경고.

취약점이 있음을 알려드립니다., 총칭했던 프록시쉘, 의 여름에 알려지게 되었다 2021.

ProxyShell은 인증 없이 원격 코드 실행을 허용하는 세 가지 취약점을 결합합니다. 마이크로 소프트 Exchange 서버. 이 취약점은 Microsoft Exchange Client Access Service를 악용합니다. (CAS) 포트에서 실행 443.

상기시켜 드리겠습니다 우리, 예를 들면, 이야기 한시터 악성 코드, 피싱 이메일을 사용하는, 손상된 자격 증명, 또는 무차별 대입 RDP가 취약한 Windows 시스템에 액세스하고 Microsoft Exchange의 취약성을 악용합니다..

이전에, ProxyShell 버그는 이미 많은 공격자들에 의해 사용되었습니다., 다음과 같은 잘 알려진 해킹 그룹을 포함하여 콘티, 블랙바이트, 바북, 쿠바잠금 파일. 운수 나쁘게, 그만큼 하이브 공격에 따르면 모든 사람이 아직 ProxyShell에 패치를 적용한 것은 아닙니다., 취약한 서버는 여전히 네트워크에서 찾을 수 있습니다..

ProxyShell 버그를 악용한 후, Hive 운영자는 액세스 가능한 Exchange 디렉터리에 4개의 웹 셸을 삽입하고 높은 권한으로 PowerShell 코드를 실행합니다., 코발트 스트라이크 스테이저 로딩. 연구원들은 이러한 공격에 사용된 웹 쉘이 공개적으로 가져왔다 힘내 저장소 그런 다음 감지를 피하기 위해 단순히 이름이 변경되었습니다..

공격받은 기계에, 공격자는 또한 미미카츠 infostealer는 도메인 관리자 계정에서 암호를 도용하고 측면 이동을 수행합니다.. 이런 식으로, 해커는 피해자가 나중에 몸값을 지불하도록 하기 위해 가장 가치 있는 데이터를 찾습니다..

게다가, 원격 네트워크 스캐너의 잔해를 감지할 수 있었습니다., IP 주소 목록, 장치 및 디렉토리, 백업 서버용 RDP, SQL 데이터베이스 스캔 등.영웅 분석가 작성.
모든 귀중한 파일이 성공적으로 도난당한 후에만, 랜섬웨어 페이로드 (Windows.exe라는 이름의) 전개된다. 파일을 암호화하기 직전, Golang 페이로드는 섀도 복사본도 제거합니다., Windows Defender를 비활성화합니다, Windows 이벤트 로그를 지웁니다., 파일 연결 프로세스를 종료합니다., 경고를 비활성화하기 위해 보안 계정 관리자를 중지합니다..
태그
헬가 스미스4 월 24, 2022마지막 업데이트: 4 월 24, 2022
27 1 분 읽기

헬가 스미스

저는 항상 컴퓨터 과학에 관심이있었습니다, 특히 데이터 보안 및 테마, 요즘은 "데이터 과학", 10 대 초반부터. 편집장으로 바이러스 제거 팀에 오기 전, 저는 여러 회사에서 사이버 보안 전문가로 일했습니다., 아마존 계약자 중 한 명 포함. 또 다른 경험: 나는 Arden과 Reading 대학에서 가르치고 있습니다..

회신을 남겨주

이 사이트는 스팸을 줄이기 위해 Akismet 플러그를 사용. 귀하의 코멘트 데이터가 처리되는 방법 알아보기.

맨 위로 버튼