Operadores de malware Hive atacam servidores Microsoft Exchange

Helga Smithabril 24, 2022Última Actualização abril 24, 2022
27 lido 1 minuto

Operadores de ransomware Hive atacam servidores Microsoft Exchange que são vulneráveis ​​aos notórios problemas do ProxyShell.

Em máquinas comprometidas, invasores implantam vários backdoors, Incluindo Cobalt Strike balizas, então faça o reconhecimento, roubar credenciais e informações valiosas, e só então prossiga para criptografar os arquivos.

Herói, que estão investigando o que está acontecendo após um ataque de ransomware a um de seus clientes, avisado sobre o problema.

Deixe-me lembrá-lo de que as vulnerabilidades, que foram chamados coletivamente ProxyShell, ficou conhecido no verão de 2021.

O ProxyShell combina três vulnerabilidades que permitem a execução remota de código sem autenticação em Microsoft Servidores Exchange. Essas vulnerabilidades exploram o Serviço de Acesso para Cliente do Microsoft Exchange (CAS) rodando na porta 443.

Deixe-me lembrá-lo que nós, por exemplo, falou sobre Hancitor malwares, que usa e-mails de phishing, credenciais comprometidas, ou RDP de força bruta para acessar máquinas Windows vulneráveis ​​e explorar vulnerabilidades no Microsoft Exchange.

Anteriormente, Os bugs do ProxyShell já foram usados ​​por muitos invasores, incluindo grupos de hackers conhecidos como Conti, BlackByte, Babuk, Cuba e LockFile. Infelizmente, a Colmeia ataques mostram que nem todos corrigiram o ProxyShell ainda, e servidores vulneráveis ​​ainda podem ser encontrados na rede.

Depois de explorar os bugs do ProxyShell, Os operadores do Hive injetam quatro web shells em um diretório acessível do Exchange e executam o código do PowerShell com altos privilégios, carregando stagers Cobalt Strike. Os pesquisadores observam que os web shells usados ​​nesses ataques foram retirados de um público Git repositório e, em seguida, simplesmente renomeado para evitar a detecção.

Nas máquinas atacadas, os atacantes também usam o Mimikatz infostealer para roubar a senha da conta do administrador do domínio e realizar um movimento lateral. Desta maneira, hackers procuram os dados mais valiosos para forçar a vítima a pagar um resgate mais tarde.

além do que, além do mais, fomos capazes de detectar vestígios de scanners de rede remotos, listas de endereços IP, dispositivos e diretórios, RDP para servidores de backup, Varreduras de banco de dados SQL e muito mais.Analistas de heróis escrevem.
Somente depois que todos os arquivos valiosos forem roubados com sucesso, a carga do ransomware (chamado Windows.exe) é implantado. Pouco antes de criptografar arquivos, uma carga útil de Golang também remove cópias de sombra, desativa o Windows Defender, limpa os logs de eventos do Windows, mata processos de vinculação de arquivos, e interrompe o Gerenciador de contas de segurança para desabilitar alertas.
Tag
Helga Smithabril 24, 2022Última Actualização abril 24, 2022
27 lido 1 minuto

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo