Шифровальщик Hive атакует серверы Microsoft Exchange - «Новости» » Интернет технологии
sitename
Энтузиаст построил видеокарту из 8192 копеечных чипов RISC-V - «Новости сети»
Энтузиаст построил видеокарту из 8192 копеечных чипов RISC-V - «Новости сети»
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А - «Новости сети»
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А - «Новости сети»
Успех Kingdom Come: Deliverance 2 не помог актёру озвучки Яна Птачека пробиться в игровую индустрию, но открыл дорогу в стримеры - «Новости сети»
Успех Kingdom Come: Deliverance 2 не помог актёру озвучки Яна Птачека пробиться в игровую индустрию, но открыл дорогу в стримеры - «Новости сети»
Больше никаких Burnout и Need for Speed: спустя 30 лет создания гоночных игр Criterion «целиком сосредоточена» на Battlefield - «Новости сети»
Больше никаких Burnout и Need for Speed: спустя 30 лет создания гоночных игр Criterion «целиком сосредоточена» на Battlefield - «Новости сети»
Продажи No Rest for the Wicked в раннем доступе Steam превысили 2 миллиона копий, и «лучшее ещё впереди» - «Новости сети»
Продажи No Rest for the Wicked в раннем доступе Steam превысили 2 миллиона копий, и «лучшее ещё впереди» - «Новости сети»
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Шифровальщик Hive атакует серверы Microsoft Exchange - «Новости»

Операторы малвари Hive атакуют серверы Microsoft Exchange, уязвимые для проблем ProxyShell. На скомпрометированных машинах злоумышленники развертывают различные бэкдоры, включая маяки Cobalt Strike, затем проводят разведку, воруют учетные данные и ценную информацию, и только после этого переходят к шифрованию файлов.


О проблеме предупреждают специалисты компании Varonis, которые занялись расследованием происходящего после атаки программы-вымогателя на одного из их клиентов.


Напомню, что об уязвимостях, которые получили общее название ProxyShell, стало известно летом 2021 года. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443.


Ранее багами ProxyShell уже пользовались многие злоумышленники, включая такие известные хак-группы, как Conti, BlackByte, Babuk, Cuba и LockFile. К сожалению, атаки Hive показывают, что до сих пор не все установили исправления для ProxyShell, и в сети по-прежнему можно найти уязвимые серверы.


После эксплуатации багов ProxyShell, операторы Hive внедряют четыре веб-шелла в доступную директорию Exchange и выполняют PowerShell-код с высокими привилегиями, загружая стейджеры Cobalt Strike. Исследователи отмечают, что веб-шеллы, используемые в этих атаках, были взяты из общедоступного репозитория Git, а затем их попросту переименовали, чтобы избежать обнаружения.


На атакованных машинах злоумышленники также используют инфостилер Mimikatz, чтобы похитить пароль от учетной записи администратора домена и выполнить боковое перемещение. Таким способом хакеры ищут наиболее ценные данные, чтобы позже заставить жертву заплатить выкуп. Аналитики Varonis пишут, что помимо этого им удалось обнаружить остатки удаленных сетевых сканеров, списки IP-адресов, устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и многое другое.


Лишь после того как все ценные файлы успешно похищены, развертывается полезная нагрузка шифровальщика (под именем Windows.exe). Непосредственно перед шифрованием файлов пейлоад на Golang также удаляет теневые копии, отключает Windows Defender, очищает журналы событий Windows, «убивает» процессы привязки файлов и останавливает Security Accounts Manager, чтобы отключить оповещения.


Операторы малвари Hive атакуют серверы Microsoft Exchange, уязвимые для проблем ProxyShell. На скомпрометированных машинах злоумышленники развертывают различные бэкдоры, включая маяки Cobalt Strike, затем проводят разведку, воруют учетные данные и ценную информацию, и только после этого переходят к шифрованию файлов. О проблеме предупреждают специалисты компании Varonis, которые занялись расследованием происходящего после атаки программы-вымогателя на одного из их клиентов. Напомню, что об уязвимостях, которые получили общее название ProxyShell, стало известно летом 2021 года. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443. Ранее багами ProxyShell уже пользовались многие злоумышленники, включая такие известные хак-группы, как Conti, BlackByte, Babuk, Cuba и LockFile. К сожалению, атаки Hive показывают, что до сих пор не все установили исправления для ProxyShell, и в сети по-прежнему можно найти уязвимые серверы. После эксплуатации багов ProxyShell, операторы Hive внедряют четыре веб-шелла в доступную директорию Exchange и выполняют PowerShell-код с высокими привилегиями, загружая стейджеры Cobalt Strike. Исследователи отмечают, что веб-шеллы, используемые в этих атаках, были взяты из общедоступного репозитория Git, а затем их попросту переименовали, чтобы избежать обнаружения. На атакованных машинах злоумышленники также используют инфостилер Mimikatz, чтобы похитить пароль от учетной записи администратора домена и выполнить боковое перемещение. Таким способом хакеры ищут наиболее ценные данные, чтобы позже заставить жертву заплатить выкуп. Аналитики Varonis пишут, что помимо этого им удалось обнаружить остатки удаленных сетевых сканеров, списки IP-адресов, устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и многое другое. Лишь после того как все ценные файлы успешно похищены, развертывается полезная нагрузка шифровальщика (под именем Windows.exe). Непосредственно перед шифрованием файлов пейлоад на Golang также удаляет теневые копии, отключает Windows Defender, очищает журналы событий Windows, «убивает» процессы привязки файлов и останавливает Security Accounts Manager, чтобы отключить оповещения.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
запостил(а)
Becker
Вернуться назад

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: