Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Вымогатели BlackByte атакуют серверы Microsoft Exchange через уязвимости ProxyShell

02/12/21

Micro Exchange-3Кибервымогательская группировка BlackByte взламывает корпоративные сети через уязвимости ProxyShell в серверах Microsoft Exchange.

ProxyShell – название связки из трех уязвимостей в Microsoft Exchange, совокупная эксплуатация которых позволяет удаленно выполнить на сервере произвольный код без авторизации. Уязвимости были исправлены в апреле и мае 2021 года:

CVE-2021-34473 – обход списка обхода доступа (Access Control List, ACL Bypass). Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-34523 – повышение привилегий в Exchange PowerShell Backend. Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-31207 – удаленное выполнение кода. Исправлена в мае 2021 года в обновлении KB5003435.

Исследователи безопасности компании Red Canary проанализировали атаки BlackByte и обнаружили, что они осуществляются через ProxyShell путем установки на серверы web-оболочек. С помощью web-оболочек злоумышленники загружают на атакуемый сервер бикон Cobalt Strike, внедренный в процесс Windows Update Agent. Cobalt Strike затем используется для похищения данных авторизации в учетной записи сервиса на скомпрометированной системе. После захвата учетной записи злоумышленники устанавливают инструмент для удаленного доступа к системе AnyDesk и осуществляют боковое перемещение по сети.

Как правило, операторы вымогательского ПО используют в атаках сторонние инструменты для повышения своих привилегий и развертывания в сети вымогательского ПО. Однако в случае с BlackByte главную роль играет исполняемый файл самого вредоноса, способный повышать привилегии и перемещаться по сети подобно червю.

Вредонос устанавливает три значения реестра – для локального повышения привилегий, включения совместного использования сетевого подключения между всеми уровнями привилегий и разрешения длинных значений пути для директорий, имен и пространств имен файлов.

Перед шифрованием вредонос удаляет запланированную задачу "Raccine Rules Updater" в целях предотвращения его перехвата в последнюю минуту и стирает теневые копии непосредственно через объекты WMI с помощью обфусцированной команды PowerShell.

В итоге похищенные файлы архивируются с помощью WinRAR и выводятся через анонимные файлообменники наподобие "file.io" или "anonymfiles.com."

Поскольку ИБ-компания Trustwave выпустила бесплатный инструмент для восстановления зашифрованных BlackByte файлов еще в октябре 2021 года, вряд ли вымогатели продолжают использовать те же тактики шифрования. Другими словами, новые жертвы BlackByte вряд ли смогут восстановить свои файлы с помощью декриптора Trustwave. Специалисты Red Canary зафиксировали уже несколько «свежих» вариантов BlackByte.

Темы:УгрозыВымогателиMicrosoft Exchange
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...