Вымогатели BlackByte атакуют серверы Microsoft Exchange через уязвимости ProxyShell

Вымогатели BlackByte атакуют серверы Microsoft Exchange через уязвимости ProxyShell

После выхода бесплатного декриптора от Trustwave появилось уже несколько новых версий BlackByte.

Кибервымогательская группировка BlackByte взламывает корпоративные сети через уязвимости ProxyShell в серверах Microsoft Exchange.

ProxyShell – название связки из трех уязвимостей в Microsoft Exchange, совокупная эксплуатация которых позволяет удаленно выполнить на сервере произвольный код без авторизации. Уязвимости были исправлены в апреле и мае 2021 года:

CVE-2021-34473 – обход списка обхода доступа (Access Control List, ACL Bypass). Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-34523 – повышение привилегий в Exchange PowerShell Backend. Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-31207 – удаленное выполнение кода. Исправлена в мае 2021 года в обновлении KB5003435.

Исследователи безопасности компании Red Canary проанализировали атаки BlackByte и обнаружили, что они осуществляются через ProxyShell путем установки на серверы web-оболочек. С помощью web-оболочек злоумышленники загружают на атакуемый сервер бикон Cobalt Strike, внедренный в процесс Windows Update Agent. Cobalt Strike затем используется для похищения данных авторизации в учетной записи сервиса на скомпрометированной системе. После захвата учетной записи злоумышленники устанавливают инструмент для удаленного доступа к системе AnyDesk и осуществляют боковое перемещение по сети.

Как правило, операторы вымогательского ПО используют в атаках сторонние инструменты для повышения своих привилегий и развертывания в сети вымогательского ПО. Однако в случае с BlackByte главную роль играет исполняемый файл самого вредоноса, способный повышать привилегии и перемещаться по сети подобно червю.

Вредонос устанавливает три значения реестра – для локального повышения привилегий, включения совместного использования сетевого подключения между всеми уровнями привилегий и разрешения длинных значений пути для директорий, имен и пространств имен файлов.

Перед шифрованием вредонос удаляет запланированную задачу "Raccine Rules Updater" в целях предотвращения его перехвата в последнюю минуту и стирает теневые копии непосредственно через объекты WMI с помощью обфусцированной команды PowerShell.

В итоге похищенные файлы архивируются с помощью WinRAR и выводятся через анонимные файлообменники наподобие "file.io" или "anonymfiles.com."

Поскольку ИБ-компания Trustwave выпустила бесплатный инструмент для восстановления зашифрованных BlackByte файлов еще в октябре 2021 года, вряд ли вымогатели продолжают использовать те же тактики шифрования. Другими словами, новые жертвы BlackByte вряд ли смогут восстановить свои файлы с помощью декриптора Trustwave. Специалисты Red Canary зафиксировали уже несколько «свежих» вариантов BlackByte.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь