Hive kötü amaçlı yazılım operatörleri Microsoft Exchange sunucularına saldırır

Helga SmithNisan 24, 2022Son güncelleme: Nisan 24, 2022
27 1 dakika okuma süresi

Hive fidye yazılımı operatörleri, kötü şöhretli ProxyShell sorunlarına karşı savunmasız olan Microsoft Exchange sunucularına saldırır.

Güvenliği ihlal edilmiş makinelerde, saldırganlar çeşitli arka kapılar dağıtıyor, dahil olmak üzere kobalt grevi işaretçiler, sonra keşif yapmak, kimlik bilgilerini ve değerli bilgileri çalmak, ve ancak bundan sonra dosyaları şifrelemeye devam edin.

Kahraman, Müşterilerinden birine yapılan fidye yazılımı saldırısından sonra neler olduğunu araştıran, konu hakkında uyardı.

zafiyetlerin olduğunu hatırlatmama izin verin., topluca denilenler ProxyKabuğu, yazın belli oldu 2021.

ProxyShell, kimlik doğrulama olmadan uzaktan kod yürütülmesine izin veren üç güvenlik açığını birleştirir. Microsoft, Exchange sunucuları. Bu güvenlik açıkları Microsoft Exchange İstemci Erişim Hizmetinden yararlanır (CAS) limanda çalışıyor 443.

sana şunu hatırlatmama izin ver Biz, Örneğin, hakkında konuşuldu Hancitor kötü amaçlı yazılım, kimlik avı e-postaları kullanan, güvenliği ihlal edilmiş kimlik bilgileri, veya güvenlik açığı bulunan Windows makinelerine erişmek ve Microsoft Exchange'deki güvenlik açıklarından yararlanmak için kaba kuvvet uygulayan RDP.

Önceden, ProxyShell hataları zaten birçok saldırgan tarafından kullanıldı, gibi iyi bilinen hack grupları dahil Conti, siyahbayt, Babük, Küba ve Kilit Dosyası. ne yazık ki, NS kovan saldırılar, herkesin henüz ProxyShell'i yamalamadığını gösteriyor, ve savunmasız sunucular hala ağda bulunabilir.

ProxyShell hatalarından yararlandıktan sonra, Kovan operatörleri, erişilebilir bir Exchange dizinine dört web kabuğu enjekte eder ve PowerShell kodunu yüksek ayrıcalıklarla yürütür, Kobalt Strike kademelerini yükleme. Araştırmacılar, bu saldırılarda kullanılan web kabuklarının bir halktan alındı Git depo ve ardından algılamayı önlemek için basitçe yeniden adlandırıldı.

Saldırıya uğrayan makinelerde, saldırganlar da kullanır mimikatz etki alanı yöneticisi hesabından parolayı çalmak ve yanal bir hareket gerçekleştirmek için infostealer. Böylece, bilgisayar korsanları, kurbanı daha sonra fidye ödemeye zorlamak için en değerli verileri arar.

Ek olarak, uzak ağ tarayıcılarının kalıntılarını tespit edebildik, IP adresleri listesi, cihazlar ve dizinler, Yedekleme sunucuları için RDP, SQL veritabanı taramaları ve çok daha fazlası.Kahraman analistler yazıyor.
Sadece tüm değerli dosyalar başarıyla çalındıktan sonra, fidye yazılımı yükü (Windows.exe adlı) konuşlandırıldı. Dosyaları şifrelemeden hemen önce, bir Golang yükü, gölge kopyaları da kaldırır, Windows Defender'ı devre dışı bırakır, Windows olay günlüklerini temizler, dosya bağlama işlemlerini öldürür, ve uyarıları devre dışı bırakmak için Güvenlik Hesapları Yöneticisini durdurur.
Etiketler
Helga SmithNisan 24, 2022Son güncelleme: Nisan 24, 2022
27 1 dakika okuma süresi

Helga Smith

Bilgisayar bilimlerine her zaman ilgi duymuşumdur., özellikle veri güvenliği ve tema, günümüzde denilen "veri bilimi", ilk gençlik yıllarımdan beri. Baş Editör olarak Virüs Temizleme ekibine gelmeden önce, Birkaç şirkette siber güvenlik uzmanı olarak çalıştım, Amazon'un yüklenicilerinden biri dahil. Başka bir deneyim: Arden ve Reading üniversitelerinde öğretmenlik var.

Cevap bırakın

Bu site spam azaltmak için Akismet kullanır. Yorumunuz verileri işlenirken öğrenin.

Başa dön tuşu