Филиал программы Hive ransomware нацелился на серверы Microsoft Exchange, уязвимые к проблемам безопасности ProxyShell, для установки различных бэкдоров, включая "маяк" Cobalt Strike.
Оттуда угрожающие субъекты проводят разведку сети, крадут учетные данные администратора, извлекают ценные данные и, в конце концов, развертывают полезную нагрузку, шифрующую файлы.
Подробности поступили от компании Varonis, специализирующейся на безопасности и аналитике, которая была вызвана для расследования атаки ransomware на одного из своих клиентов.
Широко распространенное злоупотребление начальным доступом
ProxyShell - это набор из трех уязвимостей в Microsoft Exchange Server, которые позволяют удаленное выполнение кода без аутентификации на уязвимых установках. Эти уязвимости использовались многими угрозами, включая такие программы-вымогатели, как Conti, BlackByte, Babuk, Cuba и LockFile, после того, как стали доступны эксплойты.
Уязвимости отслеживаются как CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297, а их рейтинг серьезности варьируется от 7,2 (высокий) до 9,8 (критический).
Уязвимости считаются полностью устраненными по состоянию на май 2021 года, однако подробная техническая информация о них стала доступна только в августе 2021 года, и вскоре после этого началась их злонамеренная эксплуатация.
Тот факт, что филиал Hive успешно использовал ProxyShell в недавней атаке, показывает, что возможности для атаки на уязвимые серверы еще есть.
От доступа к шифрованию
После эксплуатации ProxyShell хакеры разместили четыре веб-оболочки в доступном каталоге Exchange и выполнили код PowerShell с высокими привилегиями для загрузки стейджеров (маяков-извещателей об успешных атаках) Cobalt Strike.
Веб-оболочки, использованные в этой конкретной атаке, были взяты из публичного Git-репозитория и были просто переименованы, чтобы избежать обнаружения при возможных ручных проверках.
После этого злоумышленники использовали Mimikatz, программу для кражи учетных данных, чтобы получить пароль учетной записи администратора домена и выполнить боковое перемещение, получив доступ к другим ресурсам в сети.
Затем злоумышленники провели обширные операции по поиску файлов, чтобы найти наиболее ценные данные и заставить жертву заплатить больший выкуп.
Аналитики Varonis видели остатки сброшенных сетевых сканеров, списки IP-адресов, перечисления устройств и каталогов, RDP на резервные серверы, сканирование баз данных SQL и многое другое.
Одним из примечательных случаев использования программного обеспечения для сканирования сети был "SoftPerfect", легкий инструмент, который угрожающий субъект использовал для перечисления рабочих хостов путем их пингования и сохранения результатов в текстовом файле.
Наконец, после того, как все файлы были эксфильтрованы, на несколько устройств была запущена полезная нагрузка под названием "Windows.exe".
Перед шифрованием файлов организации полезная нагрузка Golang удаляла теневые копии, отключала Windows Defender, очищала журналы событий Windows, убивала процессы связывания файлов и останавливала Security Accounts Manager, чтобы отключить предупреждения.
Эволюция Hive
Hive прошел долгий путь с тех пор, как впервые был замечен в "дикой природе" в июне 2021 года. Его успешное начало побудило спецслужбы выпустить специальный отчет о его тактике и индикаторах компрометации.
В октябре 2021 года банда Hive добавила варианты для Linux и FreeBSD, а в декабре стала одной из самых активных по частоте атак ransomware.
В прошлом месяце исследователи из Sentinel Labs сообщили о новом методе обфускации полезной нагрузки, используемом Hive, что свидетельствует об активной разработке.