กลุ่มแฮ็กเกอร์ในเครือของ Hive ransomware มุ่งเป้าการโจมตีไปที่เซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่ของ ProxyShell เพื่อติดตั้ง Backdoors ต่างๆ รวมถึง Cobalt Strike beacon
โดยผู้โจมตีได้ทำการสอดแนมเครือข่าย ขโมยข้อมูลประจำตัวของบัญชีผู้ดูแลระบบ ข้อมูลที่สำคัญ และสุดท้ายก็มีการติดตั้งเพย์โหลดการเข้ารหัสไฟล์ ซึ่งรายละเอียดของข้อมูลมาจากบริษัทรักษาความปลอดภัย Varonis ซึ่งได้เข้าไปตรวจสอบการโจมตีของ Ransomware กับลูกค้ารายหนึ่งของบริษัท
ProxyShell เป็นชุดของช่องโหว่สามช่องโหว่ใน Microsoft Exchange Server ที่อนุญาตให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ ซึ่งช่องโหว่ดังกล่าวถูกใช้โดยผู้โจมตีหลายราย รวมถึงกลุ่ม Ransomware เช่น Conti, BlackByte, Babuk, Cuba และ LockFile
ช่องโหว่ดังกล่าวมีหมายเลขช่องโหว่เป็น CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31297 และระดับความรุนแรงมีตั้งแต่ 7.2 (high) ถึง 9.8 (critical)
ช่องโหว่ดังกล่าวได้รับการแก้ไขเรียบร้อยแล้วตั้งแต่เดือนพฤษภาคม 2021 โดยรายละเอียดข้อมูลทางเทคนิคที่ครอบคลุมเกี่ยวกับช่องโหว่ดังกล่าวมีการเผยแพร่ออกมาในเดือนสิงหาคม 2021 และหลังจากนั้นไม่นาน ก็ได้เริ่มพบเห็นการโจมตีโดยการใช้ช่องโหว่ดังกล่าว
การที่กลุ่มแฮ็กเกอร์ในเครือของ Hive ประสบความสำเร็จในการใช้ประโยชน์จาก ProxyShell ในการโจมตีครั้งล่าสุด แสดงให้เห็นว่ายังมีเซิร์ฟเวอร์ที่มีช่องโหว่ให้ยังสามารถโจมตีได้อยู่
หลังจากการโจมตีด้วยช่องโหว่ ProxyShell แฮ็กเกอร์ได้มีการฝัง Web shell 4 ตัวในไดเร็กทอรีของ Exchange ที่ทำให้สามารถเข้าถึงได้ และรันโค้ด PowerShell ที่มีสิทธิ์สูงในการดาวน์โหลด Cobalt Strike stagers
Web shell ที่ใช้ในการโจมตีครั้งนี้มีที่มาจาก public Git repository และถูกเปลี่ยนชื่อเพื่อหลบเลี่ยงการตรวจจับ
หลังจากนั้น ผู้โจมตีได้ใช้ Mimikatz ในการดึงข้อมูลเพื่อขโมยรหัสผ่านของบัญชีผู้ดูแลระบบ และใช้วิธี lateral movement เพื่อเข้าถึงข้อมูลเพิ่มเติมในเครือข่าย
ในเวลาต่อมา ผู้โจมตีได้ดำเนินการค้นหาไฟล์อย่างละเอียดเพื่อค้นหาข้อมูลที่มีความสำคัญ เพื่อกดดันให้เหยื่อจ่ายค่าไถ่ที่มากขึ้น
นักวิเคราะห์ของ Varonis ได้พบเครื่องมือที่ใช้ในการสแกนเครือข่ายที่ถูกทิ้งไว้, ข้อมูล list ของ IP address, การนับจำนวนอุปกรณ์ และไดเร็กทอรี, RDP ไปที่ backup servers, การสแกนฐานข้อมูล SQL และอื่นๆ
กรณีที่น่าสังเกตอย่างหนึ่งคือมีการใช้ซอฟต์แวร์สแกนเครือข่ายที่ชื่อ "SoftPerfect" ซึ่งเป็นเครื่องมือที่ผู้โจมตีใช้ในการระบุโฮสต์โดยส่งคำสั่ง ping และบันทึกผลลัพธ์ลงในไฟล์ text และสุดท้ายหลังจากที่ไฟล์ทั้งหมดถูกขโมยออกไปแล้ว Payload ของ Ransomware ที่ชื่อว่า "Windows.exe" ก็ถูกทิ้งไว้และดำเนินการเข้ารหัสในหลายๆเครื่อง
ก่อนที่จะเข้ารหัสไฟล์ขององค์กร Golang Payload จะลบ Shadow Copy, Windows Defender ที่ปิดใช้งาน, ล้างบันทึกเหตุการณ์ของ Windows, หยุดกระบวน file-binding และหยุด Security Accounts Manager เพื่อทำให้การแจ้งเตือนไม่สามารถใช้งานได้
ที่มา: bleepingcomputer.
You must be logged in to post a comment.