CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Servere Microsoft Exchange piratate pentru a implementa ransomware-ul Hive

Un afiliat al ransomware-ului Hive a vizat serverele Microsoft Exchange vulnerabile la ProxyShell pentru a implementa diverse backdoor-uri, inclusiv beacon-uri Cobalt Strike. Apoi  atacatorii au avut posibilitatea de a lansa acțiuni de recunoaștere a rețelei, de a fura credențialele conturilor de administrator, de a exfiltra informații sensibile și de a cripta a fișiere.

ProxyShell este un set compus din trei vulnerabilități existente în cadrul serverelor Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31297) care permit executarea codului de la distanță fără a fi necesară autentificarea. Vulnerabilitățile au fost exploatate de mai mulți atacatori, inclusiv Conti, BlackByte, Babuk, Cuba și Lockfile.

Vulnerabilitățile sunt considerate ca fiind remediate complet din luna mai a anului 2021, dar detaliile tehnice extinse despre ele au fost disponibile din august 2021 și, la scurt timp, a început exploatarea acestora de către persoane rău-intenționate. Faptul că afiliatul Hive a reușit recent să exploateze ProxyShell demonstrează că serverele sunt în continuare vulnerabile.

În cadrul atacului, atacatorii au inserat patru web shell-uri într-un director Exchange accesibil și au executat cod în PowerShell cu privilegii ridicate pentru a descărca Cobalt Strike stagers. Web shell-urile utilizate provin dintr-un depozit public Git și au fost redenumite pentru a evita detectarea. În continuare, atacatorii au folosit Mimikatz pentru a fura credențialele unui administrator de domeniu și pentru a se deplasa lateral în rețea cu scopul de a identifica datele sensibile, astfel încât victima să plătească o răscumpărare mai mare. După exfiltrarea acestor date, un payload ransomware cu denumirea Windows.exe este încărcat și executat pe dispozitivele compromise.

Hive a fost observat pentru prima dată în luna iunie a anului 2021, atacurile acestora având un real succes, ceea ce a determinat FBI să lanseze un raport dedicat cu privire la tacticile și indicatorii de compromis ai acestora.

Sursa: https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-hive-ransomware/

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică