კომპანიები, რომლებიც იყენებენ Microsoft Exchange Server-ის მოძველებულ ვერსიებს, გამოძალდებიან ახალი გამოსასყიდის შეტევის მეშვეობით, რომელიც კოორდინირებულია Hive-ის მიერ.
ყოველ მეორე დღეს, როგორც ჩანს, არის ახალი ამბები ზოგიერთზე უსაფრთხოების მთავარი პრობლემა Microsoft-ის პროდუქტზედა დღეს, როგორც ჩანს, Microsoft-ის Exchange Server არის სხვა სერვერის ცენტრში. Microsoft Exchange Server-ის მომხმარებლები არიან სამიზნე Hive-ის მიერ განხორციელებული გამოსასყიდი პროგრამების შეტევების ტალღის სამიზნე. ცნობილი ransomware-as-a-service (RaaS) პლატფორმა, რომელიც მიზნად ისახავს ბიზნესს და ყველა სახის ორგანიზაციას.
შეტევა იყენებს Microsoft Exchange Server-ის მოწყვლადობას, რომელიც ცნობილია როგორც ProxyShell. ეს არის კრიტიკული დისტანციური კოდის შესრულების დაუცველობა, რომელიც საშუალებას აძლევს თავდამსხმელებს დისტანციურად გაუშვან კოდი დაზარალებულ სისტემებზე. მიუხედავად იმისა, რომ სამი დაუცველობა ProxyShell-ის ქოლგის ქვეშ იყო დაყენებული 2021 წლის მაისისთვის, ცნობილია, რომ ბევრი ბიზნესი არ აახლებს თავის პროგრამულ უზრუნველყოფას ისე ხშირად, როგორც უნდა. როგორც ასეთი, ზარალდება სხვადასხვა კლიენტები, მათ შორის ერთი, ვინც ისაუბრა ვარონისის სასამართლო ექსპერტიზის გუნდთან, რომელმაც პირველად შეატყობინა ამ თავდასხმების შესახებ.
მას შემდეგ, რაც გამოიყენეს ProxyShell დაუცველობა, თავდამსხმელები აყენებენ backdoor ვებ სკრიპტს საჯარო დირექტორიაში გამიზნულ Exchange სერვერზე. ეს სკრიპტი შემდეგ აწარმოებს სასურველ მავნე კოდს, რომელიც შემდეგ ჩამოტვირთავს დამატებით სტეიერის ფაილებს ბრძანებისა და კონტროლის სერვერიდან და ახორციელებს მათ. შემდეგ თავდამსხმელები ქმნიან სისტემის ახალ ადმინისტრატორს და იყენებენ Mimikatz-ს NTLM ჰეშის მოსაპარად, რომელიც საშუალებას აძლევს მათ აიღონ კონტროლი სისტემაზე, ვინმეს პაროლების ცოდნის გარეშე, pass-the-hash-ის საშუალებით ტექნიკა.
ყველაფრის ადგილზე, არამიზნობრივი მსახიობები იწყებენ მთელი ქსელის სკანირებას მგრძნობიარე და პოტენციურად მნიშვნელოვანი ფაილებისთვის. დაბოლოს, მორგებული დატვირთვა - ფაილი მოტყუებით სახელად Windows.exe - იქმნება და განლაგებულია ყველა ფაილის დაშიფვრად. მონაცემები, ისევე როგორც მოვლენის ჟურნალების გასუფთავება, ჩრდილოვანი ასლების წაშლა და უსაფრთხოების სხვა გადაწყვეტილებების გამორთვა, ასე რომ დარჩეს გამოუვლენელი. მას შემდეგ, რაც ყველა მონაცემი დაშიფრულია, ტვირთამწეობა უჩვენებს გაფრთხილებას მომხმარებლებს, რომელიც მოუწოდებს მათ გადაიხადონ თანხა, რათა დაიბრუნონ მონაცემები და შეინარჩუნონ უსაფრთხოება.
Hive-ის ფუნქციონირება არის ის, რომ ის უბრალოდ არ შიფრავს მონაცემებს და ითხოვს გამოსასყიდს მის დასაბრუნებლად. ჯგუფი ასევე მართავს ვებსაიტს, რომელიც ხელმისაწვდომია Tor ბრაუზერის საშუალებით, სადაც კომპანიების სენსიტიური მონაცემების გაზიარება შესაძლებელია, თუ ისინი არ დათანხმდებიან თანხის გადახდას. ეს ქმნის დამატებით გადაუდებელ აუცილებლობას მსხვერპლებისთვის, რომლებსაც სურთ მნიშვნელოვანი მონაცემები კონფიდენციალური დარჩეს.
ვარონისის სასამართლო ექსპერტიზის ჯგუფის ანგარიშის მიხედვით, 72 საათზე ნაკლები დასჭირდა თავდაპირველ ექსპლუატაციას. Microsoft Exchange Server-ის დაუცველობა თავდამსხმელების მიმართ, რომლებიც საბოლოოდ მიაღწევენ სასურველ მიზანს, კონკრეტულად საქმე.
თუ თქვენი ორგანიზაცია ეყრდნობა Microsoft Exchange Server-ს, თქვენ უნდა დარწმუნდეთ, რომ დაინსტალირებული გაქვთ უახლესი პატჩები, რათა დაცული იყოთ გამოსასყიდი პროგრამების შეტევებისგან ამ ტალღისგან. ზოგადად კარგი იდეაა იყოთ რაც შეიძლება განახლებული, ხშირად დაუცველობის გათვალისწინებით გამოვლინდა პატჩების გამოცემის შემდეგ, რაც თავდამსხმელებს ღიად ტოვებს მოძველებულ სისტემებს სამიზნე.
წყარო: ვარონისი
მეშვეობით: ZDNet