Операторы малвари Hive атакуют серверы Microsoft Exchange, уязвимые для проблем ProxyShell. На скомпрометированных машинах злоумышленники развертывают различные бэкдоры, включая маяки Cobalt Strike, затем проводят разведку, воруют учетные данные и ценную информацию, и только после этого переходят к шифрованию файлов.

О проблеме предупреждают специалисты компании Varonis, которые занялись расследованием происходящего после атаки программы-вымогателя на одного из их клиентов.

Напомню, что об уязвимостях, которые получили общее название ProxyShell, стало известно летом 2021 года. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443.

Ранее багами ProxyShell уже пользовались многие злоумышленники, включая такие известные хак-группы, как Conti, BlackByte, Babuk, Cuba и LockFile. К сожалению, атаки Hive показывают, что до сих пор не все установили исправления для ProxyShell, и в сети по-прежнему можно найти уязвимые серверы.

После эксплуатации багов ProxyShell, операторы Hive внедряют четыре веб-шелла в доступную директорию Exchange и выполняют PowerShell-код с высокими привилегиями, загружая стейджеры Cobalt Strike. Исследователи отмечают, что веб-шеллы, используемые в этих атаках, были взяты из общедоступного репозитория Git, а затем их попросту переименовали, чтобы избежать обнаружения.

На атакованных машинах злоумышленники также используют инфостилер Mimikatz, чтобы похитить пароль от учетной записи администратора домена и выполнить боковое перемещение. Таким способом хакеры ищут наиболее ценные данные, чтобы позже заставить жертву заплатить выкуп. Аналитики Varonis пишут, что помимо этого им удалось обнаружить остатки удаленных сетевых сканеров, списки IP-адресов, устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и многое другое.

Лишь после того как все ценные файлы успешно похищены, развертывается полезная нагрузка шифровальщика (под именем Windows.exe). Непосредственно перед шифрованием файлов пейлоад на Golang также удаляет теневые копии, отключает Windows Defender, очищает журналы событий Windows, «убивает» процессы привязки файлов и останавливает Security Accounts Manager, чтобы отключить оповещения.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии