Μια θυγατρική εταιρεία ransomware της Hive στοχεύει διακομιστές Microsoft Exchange που είναι ευάλωτοι σε ζητήματα ασφαλείας του ProxyShell για να αναπτύξει διάφορα backdoors, συμπεριλαμβανομένου του Cobalt Strike beacon.
Από εκεί, οι φορείς απειλών εκτελούν αναγνώριση δικτύου, κλέβουν διαπιστευτήρια λογαριασμού διαχειριστή, διεισδύουν πολύτιμα δεδομένα, αναπτύσσοντας τελικά το ωφέλιμο φορτίο κρυπτογράφησης αρχείων.
Οι λεπτομέρειες προέρχονται από την εταιρεία ασφάλειας και ανάλυσης Varonis, η οποία κλήθηκε να ερευνήσει μια επίθεση ransomware σε έναν από τους πελάτες της.
Μια ευρέως κακοποιημένη αρχική πρόσβαση
ProxyShell είναι ένα σύνολο τριών σημείων ευπάθειας στον Microsoft Exchange Server που επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα χωρίς έλεγχο ταυτότητας σε ευάλωτες αναπτύξεις. Τα ελαττώματα έχουν χρησιμοποιηθεί από πολλούς παράγοντες απειλών, συμπεριλαμβανομένων των ransomware όπως Conti, το BlackByte, Babuk, Cubaκαι LockFile, αφού έγιναν διαθέσιμα τα exploits.
Τα ελαττώματα παρακολουθούνται ως CVE-2021-34473, CVE-2021-34523 και CVE-2021-31297 και η βαθμολογία σοβαρότητάς τους κυμαίνεται από 7,2 (υψηλό) έως 9,8 (κρίσιμο).
Τα τρωτά σημεία ασφαλείας θεωρούνται πλήρως διορθωμένα από τον Μάιο του 2021, αλλά εκτενείς τεχνικές λεπτομέρειες σχετικά με αυτά έγιναν διαθέσιμες μόλις τον Αύγουστο του 2021 και αμέσως μετά ξεκίνησε η κακόβουλη εκμετάλλευση [1, 2].
Το γεγονός ότι η θυγατρική της Hive πέτυχε να εκμεταλλευτεί το ProxyShell σε μια πρόσφατη επίθεση δείχνει ότι υπάρχει ακόμα χώρος για στόχευση ευάλωτων διακομιστών.