Серверы Microsoft Exchange взломаны для развертывания вымогательского ПО Hive

3
Серверы Microsoft Exchange взломаны для развертывания вымогательского ПО Hive

Филиал программы-вымогателя Hive атакует серверы Microsoft Exchange, уязвимые к проблемам безопасности ProxyShell, для установки различных бэкдоров, включая маячок Cobalt Strike.

Оттуда субъекты угрозы проводят разведку сети, крадут учетные данные администратора, извлекают ценные данные и, в конечном итоге, развертывают полезную нагрузку, шифрующую файлы.

Подробности поступили от компании Varonis, специализирующейся на безопасности и аналитике, которая была вызвана для расследования атаки ransomware на одного из своих клиентов.

Широко распространенное злоупотребление начальным доступом

ProxyShell — это набор из трех уязвимостей в Microsoft Exchange Server, которые позволяют удаленное выполнение кода без аутентификации на уязвимых установках. Эти уязвимости использовались многими угрозами, включая такие программы-вымогатели, как Conti, BlackByte, Babuk, Cuba и LockFile, после того, как стали доступны эксплойты.

Недостатки отслеживаются как CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297, а их рейтинг серьезности варьируется от 7,2 (высокий) до 9,8 (критический).

Уязвимости считаются полностью устраненными по состоянию на май 2021 года, однако подробная техническая информация о них стала доступна только в августе 2021 года, и вскоре после этого началась их злонамеренная эксплуатация [1, 2].

Тот факт, что филиал Hive успешно использовал ProxyShell в недавней атаке, показывает, что возможности для атаки на уязвимые серверы еще есть.

От доступа к шифрованию

После эксплуатации ProxyShell хакеры разместили четыре веб-оболочки в доступном каталоге Exchange и выполнили код PowerShell с высокими привилегиями для загрузки стейджеров Cobalt Strike.

Веб-оболочки, использованные в этой конкретной атаке, были взяты из публичного Git-репозитория и были просто переименованы, чтобы избежать обнаружения при возможных ручных проверках.

Затем злоумышленники использовали Mimikatz, программу для кражи учетных данных, чтобы перехватить пароль учетной записи администратора домена и выполнить боковое движение, получив доступ к другим ресурсам сети.

Затем субъекты угрозы выполняли обширные операции по поиску файлов, чтобы найти наиболее ценные данные и вынудить жертву заплатить больший выкуп.

Аналитики Varonis видели остатки сброшенных сетевых сканеров, списки IP-адресов, перечисления устройств и каталогов, RDP на резервные серверы, сканирование баз данных SQL и многое другое.

Одним из примечательных случаев использования программного обеспечения для сканирования сети был «SoftPerfect», легкий инструмент, который угрожающий субъект использовал для перечисления живых хостов путем их пингования и сохранения результатов в текстовом файле.

Наконец, после того, как все файлы были эксфильтрированы, на несколько устройств была запущена полезная нагрузка под названием «Windows.exe».

Перед шифрованием файлов организации полезная нагрузка Golang удаляла теневые копии, отключала Windows Defender, очищала журналы событий Windows, убивала процессы связывания файлов и останавливала Security Accounts Manager, чтобы обезвредить предупреждения.

Эволюция Hive

Hive прошел долгий путь с тех пор, как впервые был замечен в дикой природе в июне 2021 года. Его успешное начало побудило ФБР выпустить специальный отчет о его тактике и индикаторах компрометации.

В октябре 2021 года банда Hive добавила варианты для Linux и FreeBSD, а в декабре стала одной из самых активных по частоте атак ransomware.

В прошлом месяце исследователи из Sentinel Labs сообщили о новом методе обфускации полезной нагрузки, используемом Hive, что свидетельствует об активной разработке.

Последнее обновление 6 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии