Программа-вымогатель Conti взламывает серверы Exchange с помощью эксплойтов ProxyShell

24
Программа-вымогатель шифрует всю сеть Министерства юстиции ЮАР

Банда программ-вымогателей Conti взламывает серверы Microsoft Exchange и взламывает корпоративные сети, используя недавно обнаруженные эксплойты уязвимости ProxyShell.

ProxyShell – это название эксплойта, использующего три связанных уязвимости Microsoft Exchange ( CVE-2021-34473 , CVE-2021-34523 , CVE-2021-31207 ), которые позволяют удаленное выполнение кода без проверки подлинности на незащищенных уязвимых серверах.

Эти три уязвимости были обнаружены Orange Tsai из Devcore , который использовал их в рамках хакерского конкурса Pwn2Own 2021 .

Хотя Microsoft полностью устранила эти уязвимости в мае 2021 года, недавно были опубликованы технические подробности использования уязвимостей, что позволило злоумышленникам начать использовать их в атаках.

До сих пор мы видели, как злоумышленники использовали уязвимости ProxyShell для удаления веб-шеллов, бэкдоров и развертывания вымогателей LockFile .

Conti теперь использует ProxyShell для взлома сетей

На прошлой неделе компания Sophos участвовала в расследовании инцидента, когда банда программ-вымогателей Conti зашифровала клиента.

После анализа атаки Sophos обнаружил, что злоумышленники изначально взломали сеть, используя недавно обнаруженные уязвимости Microsoft Exchange ProxyShell.

Как и в большинстве недавних атак Microsoft Exchange, злоумышленники сначала сбрасывают веб-оболочки, используемые для выполнения команд, загрузки программного обеспечения и дальнейшей компрометации сервера.

После того, как злоумышленники получили полный контроль над сервером, Sophos заметил, что они быстро прибегли к своей стандартной тактике, изложенной в недавно просочившемся учебном материале Conti .

Эта процедура включает в себя получение списков администраторов домена и компьютеров, сброс LSASS для получения доступа к учетным данным администратора и распространение по сети на другие серверы.

Когда злоумышленники скомпрометировали различные серверы, они установили несколько инструментов для обеспечения удаленного доступа к устройствам, например маяки AnyDesk и Cobalt Strike.

Зайдя в сеть, злоумышленники украли незашифрованные данные и загрузили их на сервер обмена файлами MEGA. Через пять дней они начали шифрование устройств в сети с сервера без антивирусной защиты, используя наблюдаемую команду:

start C:\x64.exe -m -net -size 10 -nomutex -p \\[computer Active Directory name]\C$

Этот конкретный случай выделялся скоростью и точностью, с которой группа провела атаку: от первоначального нарушения до кражи 1 ТБ данных потребовалось всего 48 часов.

«В течение 48 часов после получения этого начального доступа злоумышленники извлекли около 1 терабайта данных. По прошествии пяти дней они развернули программу-вымогатель Conti на каждой машине в сети, специально нацелившись на отдельные сетевые ресурсы на каждом компьютере», – пояснил Sophos. в своем отчете.

«В ходе вторжения филиалы Conti установили в сети не менее семи бэкдордов: две веб-оболочки, Cobalt Strike и четыре коммерческих инструмента удаленного доступа (AnyDesk, Atera, Splashtop и Remote Utilities)».

«Веб-оболочки, установленные на ранней стадии, использовались в основном для начального доступа; Cobalt Strike и Any Desk были основными инструментами, которые они использовали до конца атаки».

Обновите свои серверы Exchange прямо сейчас!

При проведении атак с использованием ProxyShell злоумышленники нацелены на службу автообнаружения, отправляя следующие запросы:
https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com
Чтобы проверить, был ли выбран ваш сервер Exchange Server, вы можете изучить журналы IIS на предмет запросов к «/autodiscover/autodiscover.json» со странными или неизвестными электронными письмами.

В случае с Conti, наблюдаемом Sophos, злоумышленники использовали электронное письмо от @ evil.corp, которое должно легко выделить попытки эксплойта.

Без сомнения, уязвимости ProxyShell в настоящее время используются широким кругом злоумышленников, и всем администраторам серверов Microsoft Exchange необходимо применять самые последние накопительные обновления, чтобы оставаться защищенными.

К сожалению, это приведет к простою почты по мере установки обновлений. Однако это намного лучше, чем простои и расходы, которые понесет успешная атака с выкупом.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here