Hive malware-operatører angriper Microsoft Exchange-servere

Helga Smithapril 24, 2022Sist oppdatert: april 24, 2022
27 1 minutt lest

Hive ransomware-operatører angriper Microsoft Exchange-servere som er sårbare for de beryktede ProxyShell-problemene.

På kompromitterte maskiner, angripere distribuerer ulike bakdører, gjelder også Koboltstreik beacons, foreta deretter rekognosering, stjele legitimasjon og verdifull informasjon, og bare deretter fortsette å kryptere filer.

Helt, som undersøker hva som skjer etter et løsepengeangrep på en av kundene deres, advart om problemet.

La meg minne deg på at sårbarhetene, som samlet ble kalt ProxyShell, ble kjent sommeren av 2021.

ProxyShell kombinerer tre sårbarheter som tillater ekstern kjøring av kode uten autentisering på Microsoft Exchange-servere. Disse sårbarhetene utnytter Microsoft Exchange Client Access Service (CAS) kjører på havn 443.

La meg minne deg på det vi, for eksempel, snakket om Hancitor malware, som bruker phishing-e-post, kompromittert legitimasjon, eller råtvingende RDP for å få tilgang til sårbare Windows-maskiner og utnytter sårbarheter i Microsoft Exchange.

Tidligere, ProxyShell-feil har allerede blitt brukt av mange angripere, inkludert slike velkjente hackgrupper som Conti, BlackByte, Babuk, Cuba og Lås fil. dessverre, de Hive angrep viser at ikke alle har lappet ProxyShell ennå, og sårbare servere kan fortsatt finnes på nettverket.

Etter å ha utnyttet ProxyShell-feil, Hive-operatører injiserer fire nettskjell i en tilgjengelig Exchange-katalog og kjører PowerShell-kode med høye privilegier, lasting av Cobalt Strike stagers. Forskerne bemerker at nettskjellene som ble brukt i disse angrepene ble tatt fra en offentlighet Git oppbevaringssted og deretter bare omdøpt for å unngå oppdagelse.

På de angrepne maskinene, angriperne bruker også Mimikatz infostealer for å stjele passordet fra domeneadministratorkontoen og utføre en sidebevegelse. På denne måten, hackere ser etter de mest verdifulle dataene for å tvinge offeret til å betale løsepenger senere.

I tillegg, vi var i stand til å oppdage rester av eksterne nettverksskannere, lister over IP-adresser, enheter og kataloger, RDP for backup-servere, SQL-databaseskanninger og mye mer.Det skriver helteanalytikere.
Først etter at alle verdifulle filer har blitt stjålet, løsepengevare nyttelasten (kalt Windows.exe) er utplassert. Rett før kryptering av filer, en Golang-nyttelast fjerner også skyggekopier, deaktiverer Windows Defender, sletter Windows-hendelseslogger, dreper filkoblingsprosesser, og stopper Security Account Manager for å deaktivere varsler.
Merker
Helga Smithapril 24, 2022Sist oppdatert: april 24, 2022
27 1 minutt lest

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen