Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Операторы программы-вымогателя Hive атаковали серверы Microsoft Exchange

22/04/22

Hive malwareПартнер программы-вымогателя Hive атаковал серверы Microsoft Exchange, содержащие уязвимости ProxyShell, для установки различных бэкдоров, включая маячки Cobalt Strike. Злоумышленники проводят сетевую разведку, крадут учетные данные учетной записи администратора, похищают ценную информацию и в конечном итоге устанавливают вымогательское ПО для шифрования файлов.

ProxyShell — набор из трех уязвимостей в Microsoft Exchange Server, которые позволяют удаленно выполнять код без проверки подлинности в уязвимых средах. После того как эксплоиты стали доступны, уязвимости использовались несколькими злоумышленниками, включая вымогательские группировки Conti, BlackByte, Babuk, Cuba и LockFile.

Уязвимости (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297) получили оценку от 7,2 до 9,8 из максимальных 10 по шкале CVSS и были исправлены в мае 2021 года.

После эксплуатации ProxyShell хакеры внедрили четыре web-оболочки в доступную директорию Exchange и выполнили PowerShell-код с высокими привилегиями для загрузки Cobalt Strike. Web-оболочки были получены из общедоступного репозитория Git и были переименованы с целью избежать обнаружения во время возможных проверок.

Затем злоумышленники использовали Mimikatz для кражи пароля учетной записи администратора домена и выполнения перемещения по сети, получив доступ к большему количеству ресурсов. Хакеры инициировали обширные операции по поиску более ценных файлов, чтобы заставить жертву заплатить крупный выкуп.

Аналитики из компании Varonis обнаружили следы установленных сетевых сканеров, списки IP-адресов, перечисления устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и пр. Одним из заметных случаев злоупотребления программным обеспечением для сканирования сети был инструмент SoftPerfect, который злоумышленники использовали для перечисления активных систем, проверяя их связь и сохраняя результаты в текстовом файле. После того как все файлы были похищены, полезная нагрузка программы-вымогателя с именем Windows.exe была запущена на нескольких устройствах.

Перед шифрованием файлов организации полезная нагрузка, написанная на языке Golang, удалила теневые копии, отключила Защитник Windows, очистила журналы событий Windows, отключила процессы привязки файлов и остановила работу диспетчера учетных записей безопасности.

Темы:УгрозыВымогателиCobalt StrikeMicrosoft Exchange
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...