Operaterji zlonamerne programske opreme Hive napadajo strežnike Microsoft Exchange

Helga Smithaprila 24, 2022Zadnja posodobitev: aprila 24, 2022
1 minutno branje

Operaterji izsiljevalske programske opreme Hive napadajo strežnike Microsoft Exchange, ki so ranljivi za razvpite težave ProxyShell.

Na ogroženih strojih, napadalci uporabljajo različna stranska vrata, vključno z Strike kobalta svetilniki, nato izvedite izvidnico, ukrasti poverilnice in dragocene podatke, in šele nato nadaljujte s šifriranjem datotek.

junak, ki preiskujejo, kaj se dogaja po napadu izsiljevalske programske opreme na eno od njihovih strank, opozoril na težavo.

Naj vas spomnim, da ranljivosti, ki so se skupaj imenovali ProxyShell, je postalo znano poleti 2021.

ProxyShell združuje tri ranljivosti, ki omogočajo oddaljeno izvajanje kode brez preverjanja pristnosti na Microsoft Exchange strežniki. Te ranljivosti izkoriščajo Microsoft Exchange Client Access Service (CAS) teče na pristanišču 443.

Naj vas spomnim na to mi, na primer, govoril o Hancitor zlonamerna programska oprema, ki uporablja lažna e-poštna sporočila, ogrožene poverilnice, ali nasilen RDP za dostop do ranljivih naprav Windows in izkoriščanje ranljivosti v Microsoft Exchange.

Prej, Napake ProxyShell so že uporabili številni napadalci, vključno s tako znanimi hekerskimi skupinami, kot je Conti, BlackByte, prah, Kuba in LockFile. Na žalost, the Panj napadi kažejo, da še niso vsi zakrpali lupine ProxyShell, in ranljive strežnike je še vedno mogoče najti v omrežju.

Po izkoriščanju napak ProxyShell, Operaterji Hive vbrizgajo štiri spletne lupine v dostopen imenik Exchange in izvajajo kodo PowerShell z visokimi privilegiji, nalaganje stopnic Cobalt Strike. Raziskovalci ugotavljajo, da so spletne lupine, uporabljene v teh napadih so bili vzeti iz javnosti Git repozitorij in nato preprosto preimenovali, da bi se izognili odkrivanju.

Na napadenih strojih, napadalci uporabljajo tudi Mimiccat infostealer za krajo gesla iz skrbniškega računa domene in izvedbo bočnega premika. Na ta način, hekerji iščejo najdragocenejše podatke, da bi žrtev kasneje prisilili v plačilo odkupnine.

Poleg tega, smo lahko odkrili ostanke oddaljenih omrežnih skenerjev, seznami naslovov IP, naprave in imeniki, RDP za rezervne strežnike, Skeniranje baze podatkov SQL in še veliko več.Pišejo analitiki Hero.
Šele potem, ko so vse dragocene datoteke uspešno ukradene, obremenitev izsiljevalske programske opreme (z imenom Windows.exe) je razporejen. Tik pred šifriranjem datotek, koristni tovor Golang odstrani tudi senčne kopije, onemogoči Windows Defender, počisti dnevnike dogodkov Windows, ubije procese povezovanja datotek, in zaustavi upravitelja varnostnih računov, da onemogoči opozorila.
Oznake
Helga Smithaprila 24, 2022Zadnja posodobitev: aprila 24, 2022
1 minutno branje

Helga Smith

Vedno me je zanimalo računalništvo, zlasti varnost podatkov in tema, ki se dandanes imenuje "znanost o podatkih", že od zgodnjih najstniških let. Pred prihodom v ekipo za odstranjevanje virusov kot glavni urednik, Delal sem kot strokovnjak za kibernetsko varnost v več podjetjih, including one of Amazon's contractors. Še ena izkušnja: Poučujem na univerzah Arden in Reading.

Pustite odgovor

Your email address will not be published. Required fields are marked *

To spletno mesto uporablja Akismet za zmanjšanje neželene pošte. Preberite, kako se obdelujejo vaši komentarji.

Gumb Nazaj na vrh