Шифровальщик Hive атакует серверы Microsoft Exchange - «Новости» » Интернет технологии
sitename
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
 В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
 Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
 Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
 Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
 Nvidia обновила DLSS, уменьшив в играх потребление VRAM на 20 % - «Новости сети»
Nvidia обновила DLSS, уменьшив в играх потребление VRAM на 20 % - «Новости сети»
 Microsoft заявила, что ПК с Windows 11 в 2,3 раза быстрее ПК с Windows 10 и привела сомнительные аргументы - «Новости сети»
Microsoft заявила, что ПК с Windows 11 в 2,3 раза быстрее ПК с Windows 10 и привела сомнительные аргументы - «Новости сети»
 MEGANews. Cамые важные события в мире инфосека за июнь - «Новости»
MEGANews. Cамые важные события в мире инфосека за июнь - «Новости»
 Австралийку арестовали из-за неоднократных взломов университетских систем - «Новости»
Австралийку арестовали из-за неоднократных взломов университетских систем - «Новости»
 Теперь дешевле. Подписка на «Хакер» — 450₽ в месяц - «Новости»
Теперь дешевле. Подписка на «Хакер» — 450₽ в месяц - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Шифровальщик Hive атакует серверы Microsoft Exchange - «Новости»

✔Шифровальщик Hive атакует серверы Microsoft Exchange - «Новости»

22 апреля 2022 658 Новости / Изображения / Добавления стилей / Списки / Отступы и поля 0

Операторы малвари Hive атакуют серверы Microsoft Exchange, уязвимые для проблем ProxyShell. На скомпрометированных машинах злоумышленники развертывают различные бэкдоры, включая маяки Cobalt Strike, затем проводят разведку, воруют учетные данные и ценную информацию, и только после этого переходят к шифрованию файлов.


О проблеме предупреждают специалисты компании Varonis, которые занялись расследованием происходящего после атаки программы-вымогателя на одного из их клиентов.


Напомню, что об уязвимостях, которые получили общее название ProxyShell, стало известно летом 2021 года. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443.


Ранее багами ProxyShell уже пользовались многие злоумышленники, включая такие известные хак-группы, как Conti, BlackByte, Babuk, Cuba и LockFile. К сожалению, атаки Hive показывают, что до сих пор не все установили исправления для ProxyShell, и в сети по-прежнему можно найти уязвимые серверы.


После эксплуатации багов ProxyShell, операторы Hive внедряют четыре веб-шелла в доступную директорию Exchange и выполняют PowerShell-код с высокими привилегиями, загружая стейджеры Cobalt Strike. Исследователи отмечают, что веб-шеллы, используемые в этих атаках, были взяты из общедоступного репозитория Git, а затем их попросту переименовали, чтобы избежать обнаружения.


На атакованных машинах злоумышленники также используют инфостилер Mimikatz, чтобы похитить пароль от учетной записи администратора домена и выполнить боковое перемещение. Таким способом хакеры ищут наиболее ценные данные, чтобы позже заставить жертву заплатить выкуп. Аналитики Varonis пишут, что помимо этого им удалось обнаружить остатки удаленных сетевых сканеров, списки IP-адресов, устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и многое другое.


Лишь после того как все ценные файлы успешно похищены, развертывается полезная нагрузка шифровальщика (под именем Windows.exe). Непосредственно перед шифрованием файлов пейлоад на Golang также удаляет теневые копии, отключает Windows Defender, очищает журналы событий Windows, «убивает» процессы привязки файлов и останавливает Security Accounts Manager, чтобы отключить оповещения.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Операторы малвари Hive атакуют серверы Microsoft Exchange, уязвимые для проблем ProxyShell. На скомпрометированных машинах злоумышленники развертывают различные бэкдоры, включая маяки Cobalt Strike, затем проводят разведку, воруют учетные данные и ценную информацию, и только после этого переходят к шифрованию файлов. О проблеме предупреждают специалисты компании Varonis, которые занялись расследованием происходящего после атаки программы-вымогателя на одного из их клиентов. Напомню, что об уязвимостях, которые получили общее название ProxyShell, стало известно летом 2021 года. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443. Ранее багами ProxyShell уже пользовались многие злоумышленники, включая такие известные хак-группы, как Conti, BlackByte, Babuk, Cuba и LockFile. К сожалению, атаки Hive показывают, что до сих пор не все установили исправления для ProxyShell, и в сети по-прежнему можно найти уязвимые серверы. После эксплуатации багов ProxyShell, операторы Hive внедряют четыре веб-шелла в доступную директорию Exchange и выполняют PowerShell-код с высокими привилегиями, загружая стейджеры Cobalt Strike. Исследователи отмечают, что веб-шеллы, используемые в этих атаках, были взяты из общедоступного репозитория Git, а затем их попросту переименовали, чтобы избежать обнаружения. На атакованных машинах злоумышленники также используют инфостилер Mimikatz, чтобы похитить пароль от учетной записи администратора домена и выполнить боковое перемещение. Таким способом хакеры ищут наиболее ценные данные, чтобы позже заставить жертву заплатить выкуп. Аналитики Varonis пишут, что помимо этого им удалось обнаружить остатки удаленных сетевых сканеров, списки IP-адресов, устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и многое другое. Лишь после того как все ценные файлы успешно похищены, развертывается полезная нагрузка шифровальщика (под именем Windows.exe). Непосредственно перед шифрованием файлов пейлоад на Golang также удаляет теневые копии, отключает Windows Defender, очищает журналы событий Windows, «убивает» процессы привязки файлов и останавливает Security Accounts Manager, чтобы отключить оповещения.
CSS
запостил(а)
Becker
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: