Hive-malware-operators vallen Microsoft Exchange-servers aan

Helga Smithapril 24, 2022Laatst bijgewerkt: april 24, 2022
27 1 minuut lezen

Hive ransomware-operators vallen Microsoft Exchange-servers aan die kwetsbaar zijn voor de beruchte ProxyShell-problemen.

Op gecompromitteerde machines, aanvallers zetten verschillende achterdeuren in, inclusief Cobalt Strike bakens, voer dan een verkenning uit, inloggegevens en waardevolle informatie stelen, en pas dan verder met het versleutelen van bestanden.

Held, die onderzoeken wat er gebeurt na een ransomware-aanval op een van hun klanten, gewaarschuwd voor het probleem.

Laat me je eraan herinneren dat de kwetsbaarheden, die gezamenlijk werden genoemd ProxyShell, werd bekend in de zomer van 2021.

ProxyShell combineert drie kwetsbaarheden waardoor externe code kan worden uitgevoerd zonder authenticatie aan Microsoft Exchange-servers. Deze kwetsbaarheden maken misbruik van de Microsoft Exchange Client Access Service (CAS) draait op poort 443.

Laat me je eraan herinneren dat wij, bijvoorbeeld, over gesproken Hancitor malware, die phishing-e-mails gebruikt, gecompromitteerde inloggegevens, of brute-forcering van RDP om toegang te krijgen tot kwetsbare Windows-machines en misbruik te maken van kwetsbaarheden in Microsoft Exchange.

Eerder, ProxyShell-bugs zijn al door veel aanvallers gebruikt, waaronder bekende hackgroepen als continu, BlackByte, Babuk, Cuba en LockFile. helaas, de Bijenkorf aanvallen tonen aan dat nog niet iedereen ProxyShell heeft gepatcht, en kwetsbare servers zijn nog steeds te vinden op het netwerk.

Na misbruik van ProxyShell-bugs, Hive-operators injecteren vier webshells in een toegankelijke Exchange-directory en voeren PowerShell-code uit met hoge privileges, Cobalt Strike-stagers laden. De onderzoekers merken op dat de webshells die bij deze aanvallen zijn gebruikt zijn overgenomen van een publiek Git opslagplaats en vervolgens eenvoudig hernoemd om detectie te voorkomen.

Op de aangevallen machines, de aanvallers gebruiken ook de Mimikatz infostealer om het wachtwoord van het domeinbeheerdersaccount te stelen en een zijwaartse beweging uit te voeren. Op deze manier, hackers zoeken naar de meest waardevolle gegevens om het slachtoffer te dwingen later losgeld te betalen.

In aanvulling op, we hebben overblijfselen van externe netwerkscanners kunnen detecteren, lijsten met IP-adressen, apparaten en mappen, RDP voor back-upservers, SQL-databasescans en nog veel meer.Heldenanalisten schrijven:.
Pas nadat alle waardevolle bestanden succesvol zijn gestolen, de ransomware-lading (met de naam Windows.exe) wordt ingezet. Net voor het versleutelen van bestanden, een Golang-payload verwijdert ook schaduwkopieën, schakelt Windows Defender uit, wist Windows-gebeurtenislogboeken, doodt bestandskoppelingsprocessen, en stopt de Security Accounts Manager om waarschuwingen uit te schakelen.
Tags
Helga Smithapril 24, 2022Laatst bijgewerkt: april 24, 2022
27 1 minuut lezen

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, waaronder een van Amazon's aannemers. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop