Шифровальщик Hive атакует серверы Microsoft Exchange - «Новости» » Интернет технологии
sitename
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Шифровальщик Hive атакует серверы Microsoft Exchange - «Новости»

Операторы малвари Hive атакуют серверы Microsoft Exchange, уязвимые для проблем ProxyShell. На скомпрометированных машинах злоумышленники развертывают различные бэкдоры, включая маяки Cobalt Strike, затем проводят разведку, воруют учетные данные и ценную информацию, и только после этого переходят к шифрованию файлов.


О проблеме предупреждают специалисты компании Varonis, которые занялись расследованием происходящего после атаки программы-вымогателя на одного из их клиентов.


Напомню, что об уязвимостях, которые получили общее название ProxyShell, стало известно летом 2021 года. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443.


Ранее багами ProxyShell уже пользовались многие злоумышленники, включая такие известные хак-группы, как Conti, BlackByte, Babuk, Cuba и LockFile. К сожалению, атаки Hive показывают, что до сих пор не все установили исправления для ProxyShell, и в сети по-прежнему можно найти уязвимые серверы.


После эксплуатации багов ProxyShell, операторы Hive внедряют четыре веб-шелла в доступную директорию Exchange и выполняют PowerShell-код с высокими привилегиями, загружая стейджеры Cobalt Strike. Исследователи отмечают, что веб-шеллы, используемые в этих атаках, были взяты из общедоступного репозитория Git, а затем их попросту переименовали, чтобы избежать обнаружения.


На атакованных машинах злоумышленники также используют инфостилер Mimikatz, чтобы похитить пароль от учетной записи администратора домена и выполнить боковое перемещение. Таким способом хакеры ищут наиболее ценные данные, чтобы позже заставить жертву заплатить выкуп. Аналитики Varonis пишут, что помимо этого им удалось обнаружить остатки удаленных сетевых сканеров, списки IP-адресов, устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и многое другое.


Лишь после того как все ценные файлы успешно похищены, развертывается полезная нагрузка шифровальщика (под именем Windows.exe). Непосредственно перед шифрованием файлов пейлоад на Golang также удаляет теневые копии, отключает Windows Defender, очищает журналы событий Windows, «убивает» процессы привязки файлов и останавливает Security Accounts Manager, чтобы отключить оповещения.


Операторы малвари Hive атакуют серверы Microsoft Exchange, уязвимые для проблем ProxyShell. На скомпрометированных машинах злоумышленники развертывают различные бэкдоры, включая маяки Cobalt Strike, затем проводят разведку, воруют учетные данные и ценную информацию, и только после этого переходят к шифрованию файлов. О проблеме предупреждают специалисты компании Varonis, которые занялись расследованием происходящего после атаки программы-вымогателя на одного из их клиентов. Напомню, что об уязвимостях, которые получили общее название ProxyShell, стало известно летом 2021 года. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443. Ранее багами ProxyShell уже пользовались многие злоумышленники, включая такие известные хак-группы, как Conti, BlackByte, Babuk, Cuba и LockFile. К сожалению, атаки Hive показывают, что до сих пор не все установили исправления для ProxyShell, и в сети по-прежнему можно найти уязвимые серверы. После эксплуатации багов ProxyShell, операторы Hive внедряют четыре веб-шелла в доступную директорию Exchange и выполняют PowerShell-код с высокими привилегиями, загружая стейджеры Cobalt Strike. Исследователи отмечают, что веб-шеллы, используемые в этих атаках, были взяты из общедоступного репозитория Git, а затем их попросту переименовали, чтобы избежать обнаружения. На атакованных машинах злоумышленники также используют инфостилер Mimikatz, чтобы похитить пароль от учетной записи администратора домена и выполнить боковое перемещение. Таким способом хакеры ищут наиболее ценные данные, чтобы позже заставить жертву заплатить выкуп. Аналитики Varonis пишут, что помимо этого им удалось обнаружить остатки удаленных сетевых сканеров, списки IP-адресов, устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и многое другое. Лишь после того как все ценные файлы успешно похищены, развертывается полезная нагрузка шифровальщика (под именем Windows.exe). Непосредственно перед шифрованием файлов пейлоад на Golang также удаляет теневые копии, отключает Windows Defender, очищает журналы событий Windows, «убивает» процессы привязки файлов и останавливает Security Accounts Manager, чтобы отключить оповещения.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
запостил(а)
Becker
Вернуться назад

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: