오래된 버전의 Microsoft Exchange Server를 사용하는 회사는 Hive가 조율한 새로운 랜섬웨어 공격을 통해 강탈당하고 있습니다.
이틀에 한 번, 어떤 사람에 대한 뉴스 기사가 나오는 것 같아요. Microsoft 제품의 주요 보안 문제, 그리고 오늘날 Microsoft의 Exchange Server가 또 다른 서버의 중심에 있는 것 같습니다. Microsoft Exchange Server 고객은 Hive가 수행하는 일련의 랜섬웨어 공격의 표적이 되었습니다. 기업과 모든 종류의 조직을 표적으로 삼는 잘 알려진 서비스형 랜섬웨어(RaaS) 플랫폼입니다.
이 공격은 ProxyShell로 알려진 Microsoft Exchange Server의 일련의 취약점을 활용합니다. 이는 공격자가 영향을 받는 시스템에서 원격으로 코드를 실행할 수 있게 하는 심각한 원격 코드 실행 취약점입니다. ProxyShell에 포함된 세 가지 취약점은 2021년 5월에 패치가 적용되었지만 많은 기업이 소프트웨어를 필요한 만큼 자주 업데이트하지 않는 것으로 잘 알려져 있습니다. 따라서 이러한 공격에 대해 처음 보고한 Varonis Forensics Team에 문의한 고객을 포함하여 다양한 고객이 영향을 받고 있습니다.
ProxyShell 취약점을 악용한 공격자는 대상 Exchange 서버의 공용 디렉터리에 백도어 웹 스크립트를 심습니다. 그런 다음 이 스크립트는 원하는 악성 코드를 실행하고 명령 및 제어 서버에서 추가 스테이저 파일을 다운로드하여 실행합니다. 그런 다음 공격자는 새로운 시스템 관리자를 만들고 Mimikatz를 사용하여 NTLM 해시를 훔칩니다. Pass-the-Hash를 통해 다른 사람의 비밀번호를 알지 않고도 시스템을 제어할 수 있습니다. 기술.
모든 것이 준비되면 악의적인 행위자는 민감하고 잠재적으로 중요한 파일을 찾기 위해 전체 네트워크를 검색하기 시작합니다. 마지막으로 사용자 지정 페이로드(Windows.exe라고 불리는 파일)가 생성 및 배포되어 모든 데이터를 암호화합니다. 데이터를 삭제하고, 이벤트 로그를 지우고, 섀도 복사본을 삭제하고, 다른 보안 솔루션을 비활성화하여 그대로 유지합니다. 감지되지 않았습니다. 모든 데이터가 암호화되면 페이로드는 사용자에게 데이터를 되찾고 안전하게 유지하려면 비용을 지불하라는 경고를 표시합니다.
Hive가 작동하는 방식은 단순히 데이터를 암호화하고 이를 돌려주기 위해 몸값을 요구하는 것이 아닙니다. 이 그룹은 또한 Tor 브라우저를 통해 액세스할 수 있는 웹사이트를 운영하고 있는데, 여기서 기업이 지불에 동의하지 않을 경우 기업의 민감한 데이터를 공유할 수 있습니다. 이로 인해 중요한 데이터를 기밀로 유지하려는 피해자에게는 추가적인 긴급 상황이 발생합니다.
Varonis Forensics Team의 보고서에 따르면 최초 악용부터 72시간도 채 걸리지 않았습니다. 공격자가 궁극적으로 원하는 목표를 달성하는 데 대한 Microsoft Exchange Server의 취약점 사례.
귀하의 조직이 Microsoft Exchange Server를 사용하는 경우, 이러한 랜섬웨어 공격으로부터 보호받기 위해 최신 패치가 설치되어 있는지 확인하고 싶을 것입니다. 일반적으로 취약점이 자주 발생한다는 점을 고려하여 가능한 한 최신 상태를 유지하는 것이 좋습니다. 패치가 발표된 후 공개되어 오래된 시스템이 공격자에게 공개됩니다. 표적.
원천: 바로니스
을 통해: ZDNet