Hive skadlig programvara attackerar Microsoft Exchange-servrar

Helga Smithapril 24, 2022Senast uppdaterad: april 24, 2022
27 1 läst minut

Hive ransomware-operatörer attackerar Microsoft Exchange-servrar som är sårbara för de ökända ProxyShell-problemen.

På komprometterade maskiner, angripare använder olika bakdörrar, Inklusive Koboltstrejk beacons, gör sedan spaning, stjäla referenser och värdefull information, och först därefter fortsätter du att kryptera filer.

Hjälte, som undersöker vad som händer efter en ransomware-attack på en av deras kunder, varnade för frågan.

Låt mig påminna dig om att sårbarheterna, som gemensamt kallades ProxyShell, blev känd sommaren 2021.

ProxyShell kombinerar tre sårbarheter som tillåter fjärrkörning av kod utan autentisering på Microsoft Exchange-servrar. Dessa sårbarheter utnyttjar Microsoft Exchange Client Access Service (CAS) körs i hamn 443.

Låt mig påminna dig om det vi, till exempel, pratade om Hancitor skadliga program, som använder nätfiske-e-post, äventyrade referenser, eller brute-forcer RDP för att komma åt sårbara Windows-maskiner och utnyttjar sårbarheter i Microsoft Exchange.

Tidigare, ProxyShell-buggar har redan använts av många angripare, inklusive sådana välkända hackgrupper som Conti, BlackByte, Babuk, Kuba och LockFile. Tyvärr, de Bikupa attacker visar att inte alla har patchat ProxyShell ännu, och sårbara servrar kan fortfarande hittas på nätverket.

Efter att ha utnyttjat ProxyShell-buggar, Hive-operatörer injicerar fyra webbskal i en tillgänglig Exchange-katalog och kör PowerShell-kod med höga privilegier, laddar Cobalt Strike stagers. Forskarna noterar att webbskalen som används i dessa attacker togs från allmänheten Git förvaret och sedan helt enkelt bytt namn för att undvika upptäckt.

På de attackerade maskinerna, angriparna använder också Mimikatz infostealer för att stjäla lösenordet från domänadministratörskontot och utföra en sidoförflyttning. På det här sättet, hackare letar efter de mest värdefulla uppgifterna för att tvinga offret att betala en lösensumma senare.

För övrigt, vi kunde upptäcka rester av fjärrnätverksskannrar, listor över IP-adresser, enheter och kataloger, RDP för backupservrar, SQL-databassökningar och mycket mer.Det skriver hjälteanalytiker.
Först efter att alla värdefulla filer framgångsrikt har stulits, ransomware nyttolasten (heter Windows.exe) är utplacerad. Precis innan du krypterar filer, en Golang-nyttolast tar också bort skuggkopior, inaktiverar Windows Defender, rensar Windows händelseloggar, dödar fillänkningsprocesser, och stoppar säkerhetskontohanteraren för att inaktivera varningar.
Taggar
Helga Smithapril 24, 2022Senast uppdaterad: april 24, 2022
27 1 läst minut

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen