Operatorzy złośliwego oprogramowania Hive atakują serwery Microsoft Exchange

Helga Smithkwiecień 24, 2022Ostatnio zaktualizowany: kwiecień 24, 2022
27 1 minuta przeczytania

Operatorzy ransomware Hive atakują serwery Microsoft Exchange, które są podatne na znane problemy z ProxyShell.

Na zaatakowanych maszynach, atakujący wdrażają różne backdoory, łącznie z Uderzenie kobaltu latarnie, następnie przeprowadzić rekonesans, kraść dane uwierzytelniające i cenne informacje, i dopiero wtedy przystąp do szyfrowania plików.

Bohater, którzy badają, co się dzieje po ataku ransomware na jednego ze swoich klientów;, ostrzegł o problemie.

Przypomnę, że luki w zabezpieczeniach, które zostały zbiorczo nazwane ProxyShell, stał się znany latem 2021.

ProxyShell łączy w sobie trzy luki, które umożliwiają zdalne wykonanie kodu bez włączonej autoryzacji Microsoft Serwery wymiany. Te luki wykorzystują usługę Microsoft Exchange Client Access Service (CAS) działa na porcie 443.

Przypomnę, że my, na przykład, Rozmawialiśmy o Hancitor złośliwe oprogramowanie, który wykorzystuje wiadomości phishingowe, złamane dane uwierzytelniające, lub brutalne wymuszanie protokołu RDP w celu uzyskania dostępu do podatnych na ataki maszyn z systemem Windows i wykorzystania luk w Microsoft Exchange.

Poprzednio, Błędy ProxyShell zostały już wykorzystane przez wielu atakujących, w tym tak znane grupy hakerów jak Kontynuuj, BlackByte, Babuk, Kuba i Zablokuj plik. Niestety, ten Ul ataki pokazują, że nie wszyscy załatali jeszcze ProxyShell, a podatne serwery wciąż można znaleźć w sieci.

Po wykorzystaniu błędów ProxyShell, Operatorzy Hive wstrzykują cztery powłoki internetowe do dostępnego katalogu Exchange i wykonują kod PowerShell z wysokimi uprawnieniami, ładowanie wyjadaczy Cobalt Strike. Naukowcy zauważają, że powłoki sieciowe wykorzystywane w tych atakach zostały zabrane z publiczności Gita Serwer C poprzez dekodowanie ciągu otrzymanego z pliku tekstowego hostowanego na a następnie po prostu zmieniono nazwę, aby uniknąć wykrycia.

Na zaatakowanych maszynach, atakujący używają również Mimikatz infostealer, aby ukraść hasło z konta administratora domeny i wykonać ruch boczny. W ten sposób, hakerzy szukają najcenniejszych danych, aby później zmusić ofiarę do zapłacenia okupu.

Dodatkowo, udało nam się wykryć pozostałości zdalnych skanerów sieciowych, listy adresów IP, urządzenia i katalogi, RDP dla serwerów kopii zapasowych, Skany baz danych SQL i wiele więcej.Piszą analitycy bohaterów.
Dopiero po udanej kradzieży wszystkich cennych plików, ładunek ransomware (o nazwie Windows.exe) jest wdrożony. Tuż przed zaszyfrowaniem plików, ładunek Golanga usuwa również kopie w tle, wyłącza Windows Defender, czyści dzienniki zdarzeń systemu Windows, zabija procesy łączenia plików, i zatrzymuje Menedżera kont zabezpieczeń przed wyłączeniem alertów.
Tagi
Helga Smithkwiecień 24, 2022Ostatnio zaktualizowany: kwiecień 24, 2022
27 1 minuta przeczytania

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry