Microsoft Exchange Sunucuları, Hive Fidye Yazılımını Dağıtmak Üzere Saldırıya Uğradı

Bir Hive fidye yazılımı iştiraki, Cobalt Strike beacon dahil olmak üzere çeşitli arka kapıları dağıtmak için ProxyShell güvenlik sorunlarına karşı savunmasız Microsoft Exchange sunucularını hedefliyor.

Daha sonra, tehdit aktörleri sızdıkları ağda tarama gerçekleştiriyor, yönetici hesabı kimlik bilgilerini çalıyor, değerli verileri sızdırıyor ve nihayetinde dosya şifreleme yazılımını kuruyor.

Konu ile ilgili detayları, müşterilerinden birine yönelik bir fidye yazılımı saldırısını araştırmak için görevlendirilen güvenlik ve analitik şirketi Varonis paylaştı.

Yaygın olarak kötüye kullanılan bir fidye yazılım

ProxyShell, Microsoft Exchange Server’da güvenlik açığı bulunan dağıtımlarda kimlik doğrulaması olmadan uzaktan kod yürütülmesine izin veren üç güvenlik açığından oluşur. Açıklar ortaya çıktıktan sonra Conti, BlackByte, Babuk, Cuba ve LockFile gibi fidye yazılımları da dahil olmak üzere birden fazla tehdit aktörü tarafından kullanıldı.

Kusurlar CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31297 olarak kodlanmış durumda ve önem dereceleri 7,2 (yüksek) ile 9,8 (kritik) arasında değişiyor.

Güvenlik açıklarının Mayıs 2021’den itibaren tamamen yamalandığı kabul ediliyor, ancak bunlarla ilgili kapsamlı teknik ayrıntılar Ağustos 2021’de kullanıma sunuldu ve bundan kısa bir süre sonra da saldırılar başladı.

Hive’ın bağlı kuruluşunun yakın tarihli bir saldırıda ProxyShell’den yararlanmada başarılı olması, savunmasız sunucuların hala hedeflendiğini gösteriyor.

Erişimden şifrelemeye

ProxyShell’in kötüye kullanılmasının ardından, bilgisayar korsanları erişilebilir bir Exchange dizinine dört web shell yerleştirdi ve Cobalt Strike’ı indirmek için yüksek ayrıcalıklarla PowerShell kodunu yürüttü.

Bu özel saldırıda kullanılan web shell’leri, halka açık bir Git deposundan elde edildi ve yalnızca olası manuel incelemeler sırasında algılanmayı önlemek için yeniden adlandırıldı.

Davetsiz misafirler daha sonra, bir etki alanı yöneticisi hesabının şifresini ele geçirmek ve sistemde yanal hareket ederek ağdaki daha fazla varlığa erişmek için bir kimlik bilgisi hırsızı olan Mimikatz’ı kullandılar.

Ardından, tehdit aktörleri, kurbanı daha büyük bir fidye ödemeye zorlamak için en değerli verileri bulmak için kapsamlı dosya arama operasyonları gerçekleştirdi.

Varonis analistleri, bırakılan ağ tarayıcılarının, IP adres listelerinin, cihaz ve dizin numaralandırmalarının, RDP’lerin yedekleme sunucularına, SQL veritabanları için taramaların ve daha fazlasının kalıntılarına rastladılar.

Ağ tarama yazılımının kötüye kullanılmasının dikkate değer bir örneği, tehdit aktörünün canlı ana bilgisayarları pingleyerek ve sonuçları bir metin dosyasına kaydederek numaralandırmak için kullandığı hafif bir araç olan “SoftPerfect” oldu.

Son olarak ve tüm dosyalar sızdırıldıktan sonra, “Windows.exe” adlı bir fidye yazılımı birden fazla cihazda yürütüldü.

Kuruluşun dosyalarını şifrelemeden önce gölge kopyalar silindi, Windows Defender devre dışı bırakıldı, Windows olay günlükleri temizlendi ve uyarıları etkisiz hale getirmek için Güvenlik Hesapları Yöneticisi durduruldu.

Hive’ın Evrimi

Hive, Haziran 2021’de ilk kez gözlemlendiğinden bu yana çok yol kat etti ve FBI’ın taktikleri ve uzlaşma göstergeleri hakkında özel bir rapor yayınlamasına neden olan başarılı bir başlangıç yaptı.

Ekim 2021’de Hive çetesi, Linux ve FreeBSD varyantlarını ekledi ve Aralık ayında saldırılarda kullanılan en aktif fidye yazılım operasyonlarından biri haline geldi.

Kaynak: Microsoft Exchange servers hacked to deploy Hive ransomware

Diğer Haberler

AWS’in Log4j Zafiyeti İçin Yayınladığı Güncellemelerin İstismar Edilebileceği Ortaya Çıktı
Oracle, 12 Ürününde Orataya Çıkan Zafiyetler İçin Güncelleme Yayınladı
Zoom Yeni Özellikler Eklemeye Devam Ediyor