Hive 恶意软件运营商攻击 Microsoft Exchange 服务器
Hive 勒索软件运营商攻击易受臭名昭著的 ProxyShell 问题影响的 Microsoft Exchange 服务器.
在受感染的机器上, 攻击者部署各种后门, 包含 钴罢工 信标, 然后进行侦察, 窃取凭据和有价值的信息, 然后才继续加密文件.
英雄, 他们正在调查他们的一位客户遭到勒索软件攻击后发生的情况, 警告过这个问题.
让我提醒你,漏洞, 统称为 代理壳, 在夏天被人熟知 2021.
ProxyShell 结合了三个漏洞,允许远程执行代码而无需身份验证 微软 交换服务器. 这些漏洞利用 Microsoft Exchange 客户端访问服务 (中国科学院) 在端口上运行 443.
让我提醒你 我们, 例如, 讨论过 汉西托 恶意软件, 它使用网络钓鱼电子邮件, 凭据泄露, 或强制 RDP 访问易受攻击的 Windows 计算机并利用 Microsoft Exchange 中的漏洞.
之前, ProxyShell 漏洞已被许多攻击者使用, 包括著名的黑客组织,例如 康蒂, 黑字节, 巴布克, 古巴 和 锁定文件. 不幸, 该 蜂巢 攻击表明并非所有人都修补了 ProxyShell, 并且仍然可以在网络上找到易受攻击的服务器.
在利用 ProxyShell 漏洞之后, Hive 操作员将四个 Web Shell 注入到可访问的 Exchange 目录中,并以高权限执行 PowerShell 代码, 加载 Cobalt Strike stagers. 研究人员指出,这些攻击中使用的 web shell 取自公众 吉特 存储库 然后简单地重命名以避免检测.
在被攻击的机器上, 攻击者还使用 米米卡兹 infostealer 从域管理员帐户中窃取密码并执行横向移动. 这样, 黑客寻找最有价值的数据以迫使受害者稍后支付赎金.
此外, 我们能够检测到远程网络扫描仪的残留物, IP 地址列表, 设备和目录, 用于备份服务器的 RDP, SQL 数据库扫描等等.英雄分析师写道.
只有在所有有价值的文件都被成功窃取之后, 勒索软件有效载荷 (命名为 Windows.exe) 已部署. 就在加密文件之前, Golang 有效负载还删除了卷影副本, 禁用 Windows Defender, 清除 Windows 事件日志, 杀死文件链接进程, 并停止安全帐户管理器以禁用警报.
