Хакеры проводят сетевую разведку, крадут учетные данные учетной записи администратора, похищают информацию и шифруют системы.
Партнер программы-вымогателя Hive атаковал серверы Microsoft Exchange, содержащие уязвимости ProxyShell, для установки различных бэкдоров, включая маячки Cobalt Strike. Злоумышленники проводят сетевую разведку, крадут учетные данные учетной записи администратора, похищают ценную информацию и в конечном итоге устанавливают вымогательское ПО для шифрования файлов.
ProxyShell — набор из трех уязвимостей в Microsoft Exchange Server, которые позволяют удаленно выполнять код без проверки подлинности в уязвимых средах. После того как эксплоиты стали доступны, уязвимости использовались несколькими злоумышленниками, включая вымогательские группировки Conti, BlackByte, Babuk, Cuba и LockFile.
Уязвимости (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297) получили оценку от 7,2 до 9,8 из максимальных 10 по шкале CVSS и были исправлены в мае 2021 года.
После эксплуатации ProxyShell хакеры внедрили четыре web-оболочки в доступную директорию Exchange и выполнили PowerShell-код с высокими привилегиями для загрузки Cobalt Strike. Web-оболочки были получены из общедоступного репозитория Git и были переименованы с целью избежать обнаружения во время возможных проверок.
Затем злоумышленники использовали Mimikatz для кражи пароля учетной записи администратора домена и выполнения перемещения по сети, получив доступ к большему количеству ресурсов. Хакеры инициировали обширные операции по поиску более ценных файлов, чтобы заставить жертву заплатить крупный выкуп.
Аналитики из компании Varonis обнаружили следы установленных сетевых сканеров, списки IP-адресов, перечисления устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и пр. Одним из заметных случаев злоупотребления программным обеспечением для сканирования сети был инструмент SoftPerfect, который злоумышленники использовали для перечисления активных систем, проверяя их связь и сохраняя результаты в текстовом файле. После того как все файлы были похищены, полезная нагрузка программы-вымогателя с именем Windows.exe была запущена на нескольких устройствах.
Перед шифрованием файлов организации полезная нагрузка, написанная на языке Golang, удалила теневые копии, отключила Защитник Windows, очистила журналы событий Windows, отключила процессы привязки файлов и остановила работу диспетчера учетных записей безопасности.
Никаких овечек — только отборные научные факты