Шифровальщик Hive атакует серверы Microsoft Exchange - «Новости» » Интернет технологии
sitename
Системы хранения данных QNAP
Системы хранения данных QNAP
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
Администраторам Progress рекомендовали срочно отключить серверы ShareFile - «Новости»
Администраторам Progress рекомендовали срочно отключить серверы ShareFile - «Новости»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Шифровальщик Hive атакует серверы Microsoft Exchange - «Новости»

Операторы малвари Hive атакуют серверы Microsoft Exchange, уязвимые для проблем ProxyShell. На скомпрометированных машинах злоумышленники развертывают различные бэкдоры, включая маяки Cobalt Strike, затем проводят разведку, воруют учетные данные и ценную информацию, и только после этого переходят к шифрованию файлов.


О проблеме предупреждают специалисты компании Varonis, которые занялись расследованием происходящего после атаки программы-вымогателя на одного из их клиентов.


Напомню, что об уязвимостях, которые получили общее название ProxyShell, стало известно летом 2021 года. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443.


Ранее багами ProxyShell уже пользовались многие злоумышленники, включая такие известные хак-группы, как Conti, BlackByte, Babuk, Cuba и LockFile. К сожалению, атаки Hive показывают, что до сих пор не все установили исправления для ProxyShell, и в сети по-прежнему можно найти уязвимые серверы.


После эксплуатации багов ProxyShell, операторы Hive внедряют четыре веб-шелла в доступную директорию Exchange и выполняют PowerShell-код с высокими привилегиями, загружая стейджеры Cobalt Strike. Исследователи отмечают, что веб-шеллы, используемые в этих атаках, были взяты из общедоступного репозитория Git, а затем их попросту переименовали, чтобы избежать обнаружения.


На атакованных машинах злоумышленники также используют инфостилер Mimikatz, чтобы похитить пароль от учетной записи администратора домена и выполнить боковое перемещение. Таким способом хакеры ищут наиболее ценные данные, чтобы позже заставить жертву заплатить выкуп. Аналитики Varonis пишут, что помимо этого им удалось обнаружить остатки удаленных сетевых сканеров, списки IP-адресов, устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и многое другое.


Лишь после того как все ценные файлы успешно похищены, развертывается полезная нагрузка шифровальщика (под именем Windows.exe). Непосредственно перед шифрованием файлов пейлоад на Golang также удаляет теневые копии, отключает Windows Defender, очищает журналы событий Windows, «убивает» процессы привязки файлов и останавливает Security Accounts Manager, чтобы отключить оповещения.


Операторы малвари Hive атакуют серверы Microsoft Exchange, уязвимые для проблем ProxyShell. На скомпрометированных машинах злоумышленники развертывают различные бэкдоры, включая маяки Cobalt Strike, затем проводят разведку, воруют учетные данные и ценную информацию, и только после этого переходят к шифрованию файлов. О проблеме предупреждают специалисты компании Varonis, которые занялись расследованием происходящего после атаки программы-вымогателя на одного из их клиентов. Напомню, что об уязвимостях, которые получили общее название ProxyShell, стало известно летом 2021 года. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443. Ранее багами ProxyShell уже пользовались многие злоумышленники, включая такие известные хак-группы, как Conti, BlackByte, Babuk, Cuba и LockFile. К сожалению, атаки Hive показывают, что до сих пор не все установили исправления для ProxyShell, и в сети по-прежнему можно найти уязвимые серверы. После эксплуатации багов ProxyShell, операторы Hive внедряют четыре веб-шелла в доступную директорию Exchange и выполняют PowerShell-код с высокими привилегиями, загружая стейджеры Cobalt Strike. Исследователи отмечают, что веб-шеллы, используемые в этих атаках, были взяты из общедоступного репозитория Git, а затем их попросту переименовали, чтобы избежать обнаружения. На атакованных машинах злоумышленники также используют инфостилер Mimikatz, чтобы похитить пароль от учетной записи администратора домена и выполнить боковое перемещение. Таким способом хакеры ищут наиболее ценные данные, чтобы позже заставить жертву заплатить выкуп. Аналитики Varonis пишут, что помимо этого им удалось обнаружить остатки удаленных сетевых сканеров, списки IP-адресов, устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и многое другое. Лишь после того как все ценные файлы успешно похищены, развертывается полезная нагрузка шифровальщика (под именем Windows.exe). Непосредственно перед шифрованием файлов пейлоад на Golang также удаляет теневые копии, отключает Windows Defender, очищает журналы событий Windows, «убивает» процессы привязки файлов и останавливает Security Accounts Manager, чтобы отключить оповещения.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
запостил(а)
Becker
Вернуться назад

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: