باج افزار Hive به سرورهای Microsoft Exchange حمله می کند

کارشناسان امنیت سایبری شرکت امنیتی Varonis اخیراً باج‌افزار Hive را کشف کرده‌اند که از درهای پشتی، از جمله برچسب Cobalt Strike، برای به خطر انداختن سرورهای Microsoft Exchange آسیب‌پذیر در برابر آسیب‌پذیری‌های ProxyShell استفاده می‌کند. .

با نصب این درهای پشتی، عوامل تهدید وظایف و فعالیت های زیر را انجام می دهند:

• شناسایی شبکه
• سرقت اطلاعات حساب کاربری
• استخراج داده های ارزشمند
• استقرار اکتشافات رمزگذاری فایل

در اینجا، کارشناسان شرکت امنیتی Varonis هنگام بررسی حمله به یکی از کاربران آن، این نقص را شناسایی کردند.

Hive Ransomware

مجرمان سایبری از باج افزار Hive برای انجام حملات اخاذی علیه قربانیان خود استفاده می کنند که اولین بار در ژوئن 2021 مشاهده شد.

اپراتورهای Hive Ransomware عمدتاً مناطق زیر را هدف قرار می دهند:

• خدمات درمانی
• غیر انتفاعی
• خرده فروشان
• تامین کنندگان انرژی
• سایر بخش های جهان

برای اینکه شرکت‌های وابسته از Hive همانطور که می‌دانند استفاده کنند، این سیستم به‌عنوان یک باج‌افزار به عنوان یک سرویس طراحی و توزیع شد.

زنجیره حمله

در عرض 72 ساعت پس از مصالحه اولیه، اپراتورهای باج افزار Hive توانستند محیط حمله را رمزگذاری کنند و به اهداف مخرب خود دست یابند.

در زنجیره حمله Hive Ransmoware، در کل پنج مرحله وجود دارد که در اینجا به شرح زیر است:

مرحله 1: ProxyShell و WebShell
مرحله 2: اعتصاب کبالت
مرحله 3: Mimikatz و Pass-The-Hash
مرحله 4: جستجوی اطلاعات حساس
مرحله 5: باج افزار را مستقر کنید

سه آسیب‌پذیری در Microsoft Exchange Server به نام ProxyShell وجود دارد که به عوامل تهدید اجازه می‌دهد تا RCE را بر روی نصب‌های Microsoft Exchange Server آلوده تحت شرایط خاص بدون احراز هویت انجام دهند.

این سه آسیب پذیری به شرح زیر شناسایی می شوند:

• CVE-2021-34473
• CVE-2021-34523
• CVE-2021-31297

سه آسیب‌پذیری امنیتی ذکر شده در بالا با امتیازات 7.2 (بالا) تا 9.8 بحرانی شناخته شده‌اند. راه‌اندازی اخیر ProxyShell توسط Hive نشان می‌دهد که حتی پس از گذشت این همه سال، هنوز سرورهای آسیب‌پذیری وجود دارند که می‌توان آنها را هدف قرار داد.

در یک دایرکتوری قابل دسترسی Exchange، عوامل تهدید چهار پوسته وب ایجاد می کنند و سپس با اجرای کد PowerShell، مراحل Cobalt Strike را دانلود می کنند.

پس از پیاده سازی، آنها از Mimikatz برای دسترسی به دارایی های بیشتری در شبکه پرخطر با سرقت رمز عبور حساب مدیریت دامنه استفاده می کنند.

توصیه ها

در چند سال گذشته افزایش قابل توجهی در حملات باج افزار وجود داشته است و به نظر می رسد این روش ترجیحی برای تهدید عوامل برای به حداکثر رساندن سود باج افزار باشد.

در اینجا توصیه های تیم پزشکی قانونی Varonis آمده است:

آخرین به‌روزرسانی تجمعی Exchange (CU) را در سرور Exchange اعمال کنید.
به روز رسانی امنیتی (SU) ارائه شده توسط مایکروسافت.
از رمزهای عبور پیچیده استفاده کنید.
همیشه رمزهای عبور را به صورت دوره ای تغییر دهید.
همیشه از راه حل Microsoft LAPS برای لغو مجوزهای مدیریت حساب دامنه محلی استفاده کنید.
به طور منظم حساب های غیرفعال یا رها شده را بررسی و حذف کنید.
استفاده از SMBv1 را مسدود کنید.
همیشه از امضای SMB استفاده کنید.
نقش کارمند را محدود کنید
اصول اولیه امنیت را به کارکنان آموزش دهید.
اقدامات اساسی امنیتی را اجرا کنید.