کاربران Microsoft Exchange Server هدف باج افزار Hive قرار گرفته اند

اخیراً گزارش های متعددی مبنی بر مشکلات امنیتی در محصولات مایکروسافت منتشر شده است و به نظر می رسد که نوبت به Exchange Server این شرکت رسیده است. مشتریان مایکروسافت اکسچنج سرور هدف موجی از حملات باج افزار از سوی Hive، یک پلتفرم باج افزار محبوب به نام RaaS قرار گرفته اند که شرکت ها و سازمان ها را هدف قرار می دهد.

XDA در مورد یک مشکل امنیتی با Microsoft Exchange Server می نویسد. این حمله باج افزار از مجموعه ای از آسیب پذیری ها در سرور Microsoft Exchange معروف به ProxyShell سوء استفاده می کند. این یک آسیب‌پذیری حیاتی اجرای کد از راه دور است که به مهاجمان اجازه می‌دهد کد هدف خود را از راه دور بر روی سیستم‌های در معرض خطر اجرا کنند. در حالی که تعمیر نرم افزار برای سه آسیب پذیری ProxyShell در می 2021 منتشر شد، بسیاری از شرکت ها نرم افزار خود را به درستی به روز نمی کنند. به این ترتیب مشتریان مختلفی تحت تاثیر این مشکل قرار می گیرند، از جمله تیم پزشکی قانونی Varonis که برای اولین بار این نوع حمله را گزارش کردند.

هنگامی که مهاجمان از آسیب پذیری های ProxyShell سوء استفاده می کنند، یک اسکریپت وب را در یک فهرست عمومی در سرور Exchange مورد هدف قرار می دهند و در مرحله بعد، اسکریپت کدهای مخرب را اجرا می کند و سپس فایل های مرحله اضافی را از سرور فرمان و کنترل دانلود و اجرا می کند. مهاجمان سپس یک مدیر سیستم جدید ایجاد کردند و از Mimikatz برای سرقت هش های NTLM استفاده کردند و به آنها اجازه داد کنترل سیستم را بدون دانستن رمزهای عبور با استفاده از تکنیک Pass-The-Hash در دست بگیرند.

  هوآوی اولین سوئیچ دیجیتالی جهان برای بلوتوث و NFC را معرفی کرد. مورد استفاده در AITO M5

باج افزار زنده

مهاجمان کل شبکه را برای یافتن فایل های حساس اسکن می کنند. در نهایت، یک payload سفارشی (یک فایل سرکش به نام Windows.exe) ایجاد می‌شود و برای رمزگذاری تمام داده‌ها و همچنین برای پاک کردن گزارش‌های رویداد استفاده می‌شود. این فایل همچنین بایگانی های موجود را حذف می کند و راه حل های امنیتی دیگر را برای جلوگیری از شناسایی غیرفعال می کند. وقتی همه داده‌ها رمزگذاری می‌شوند، Payload با درخواست از آنها برای پرداخت هزینه برای بازیابی و ذخیره اطلاعات به کاربران هشدار می‌دهد.

مقاله مرتبط:

رویکرد Hive این است که علاوه بر رمزگذاری داده ها، یک وب سایت قابل دسترسی از طریق مرورگر Tor راه اندازی می کند که در صورت عدم موافقت با پرداخت، داده های حساس را با شرکت ها به اشتراک می گذارد. این وضعیت برای قربانیانی که می خواهند اطلاعات مهم محرمانه بماند، فوریت بیشتری ایجاد می کند.

طبق گفته تیم پزشکی قانونی Varonis، بهره برداری اولیه از آسیب پذیری Microsoft Exchange Server کمتر از 72 ساعت طول کشید تا مهاجمان در نهایت در یک مورد خاص به هدف خود رسیدند.

اگر سازمان شما به سرور Microsoft Exchange متکی است، باید مطمئن شوید که آخرین وصله های امنیتی را نصب کرده اید تا از این موج حملات باج افزار جلوگیری کنید. به طور کلی ایده خوبی است که به روز باشید، زیرا آسیب پذیری ها اغلب پس از ایجاد وصله های امنیتی آشکار می شوند و سیستم های قدیمی را در معرض مهاجمان قرار می دهند.

دیدگاهتان را بنویسید