Hive 惡意軟件運營商攻擊 Microsoft Exchange 服務器
Hive 勒索軟件運營商攻擊易受臭名昭著的 ProxyShell 問題影響的 Microsoft Exchange 服務器.
在受感染的機器上, 攻擊者部署各種後門, 包含 鈷罷工 信標, 然後進行偵察, 竊取憑據和有價值的信息, 然後才繼續加密文件.
英雄, 他們正在調查他們的一位客戶遭到勒索軟件攻擊後發生的情況, 警告過這個問題.
讓我提醒你,漏洞, 統稱為 代理殼, 在夏天被人熟知 2021.
ProxyShell 結合了三個漏洞,允許遠程執行代碼而無需身份驗證 微軟 交換服務器. 這些漏洞利用 Microsoft Exchange 客戶端訪問服務 (中國科學院) 在端口上運行 443.
讓我提醒你 我們, 例如, 討論過 漢西托 惡意軟件, 它使用網絡釣魚電子郵件, 憑據洩露, 或強制 RDP 訪問易受攻擊的 Windows 計算機並利用 Microsoft Exchange 中的漏洞.
之前, ProxyShell 漏洞已被許多攻擊者使用, 包括著名的黑客組織,例如 康蒂, 黑字節, 巴布克, 古巴 和 鎖定文件. 不幸, 該 蜂巢 攻擊表明並非所有人都修補了 ProxyShell, 並且仍然可以在網絡上找到易受攻擊的服務器.
在利用 ProxyShell 漏洞之後, Hive 操作員將四個 Web Shell 注入到可訪問的 Exchange 目錄中,並以高權限執行 PowerShell 代碼, 加載 Cobalt Strike stagers. 研究人員指出,這些攻擊中使用的 web shell 取自公眾 吉特 存儲庫 然後簡單地重命名以避免檢測.
在被攻擊的機器上, 攻擊者還使用 米米卡茨 infostealer 從域管理員帳戶中竊取密碼並執行橫向移動. 這樣, 黑客尋找最有價值的數據以迫使受害者稍後支付贖金.
此外, 我們能夠檢測到遠程網絡掃描儀的殘留物, IP 地址列表, 設備和目錄, 用於備份服務器的 RDP, SQL 數據庫掃描等等.英雄分析師寫道.
只有在所有有價值的文件都被成功竊取之後, 勒索軟件有效載荷 (命名為 Windows.exe) 已部署. 就在加密文件之前, Golang 有效負載還刪除了卷影副本, 禁用 Windows Defender, 清除 Windows 事件日誌, 殺死文件鏈接進程, 並停止安全帳戶管理器以禁用警報.
