กลุ่มแฮ็กเกอร์ในเครือของ Hive ransomware มุ่งเป้าการโจมตีไปที่เซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่ของ ProxyShell เพื่อติดตั้ง Backdoors ต่างๆ รวมถึง Cobalt Strike beacon

โดยผู้โจมตีได้ทำการสอดแนมเครือข่าย ขโมยข้อมูลประจำตัวของบัญชีผู้ดูแลระบบ ข้อมูลที่สำคัญ และสุดท้ายก็มีการติดตั้งเพย์โหลดการเข้ารหัสไฟล์ ซึ่งรายละเอียดของข้อมูลมาจากบริษัทรักษาความปลอดภัย Varonis ซึ่งได้เข้าไปตรวจสอบการโจมตีของ Ransomware กับลูกค้ารายหนึ่งของบริษัท

ProxyShell เป็นชุดของช่องโหว่สามช่องโหว่ใน Microsoft Exchange Server ที่อนุญาตให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ ซึ่งช่องโหว่ดังกล่าวถูกใช้โดยผู้โจมตีหลายราย รวมถึงกลุ่ม Ransomware เช่น Conti, BlackByte, Babuk, Cuba และ LockFile

ช่องโหว่ดังกล่าวมีหมายเลขช่องโหว่เป็น CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31297 และระดับความรุนแรงมีตั้งแต่ 7.2 (high) ถึง 9.8 (critical)

ช่องโหว่ดังกล่าวได้รับการแก้ไขเรียบร้อยแล้วตั้งแต่เดือนพฤษภาคม 2021 โดยรายละเอียดข้อมูลทางเทคนิคที่ครอบคลุมเกี่ยวกับช่องโหว่ดังกล่าวมีการเผยแพร่ออกมาในเดือนสิงหาคม 2021 และหลังจากนั้นไม่นาน ก็ได้เริ่มพบเห็นการโจมตีโดยการใช้ช่องโหว่ดังกล่าว

การที่กลุ่มแฮ็กเกอร์ในเครือของ Hive ประสบความสำเร็จในการใช้ประโยชน์จาก ProxyShell ในการโจมตีครั้งล่าสุด แสดงให้เห็นว่ายังมีเซิร์ฟเวอร์ที่มีช่องโหว่ให้ยังสามารถโจมตีได้อยู่

หลังจากการโจมตีด้วยช่องโหว่ ProxyShell แฮ็กเกอร์ได้มีการฝัง Web shell 4 ตัวในไดเร็กทอรีของ Exchange ที่ทำให้สามารถเข้าถึงได้ และรันโค้ด PowerShell ที่มีสิทธิ์สูงในการดาวน์โหลด Cobalt Strike stagers

Web shell ที่ใช้ในการโจมตีครั้งนี้มีที่มาจาก public Git repository และถูกเปลี่ยนชื่อเพื่อหลบเลี่ยงการตรวจจับ

(more…)