Conti Ransomware, ProxyShell Zafiyetini Kullanarak Exchange Sunucuları Hackliyor ve Kurumsal Ağlara Sızıyor

Conti fidye çetesinin yakın zamanda açıklanan ProxyShell güvenlik açığını kullanarak Exchange sunucuları ele geçirip sonrasında kurumsal ağlara sızdıkları tespit edildi.

ProxyShell , sunucu üzerinde uzaktan kod yürütülmesine izin veren üç adet güvenlik açığının zincirleme olarak kullanılası ile ortaya çıkan bir zafiyet. ( CVE-2021-34473 ,  CVE-2021-34523 ,  CVE-2021-31207 )

Microsoft bu güvenlik açıklarını Mayıs 2021’de yamalarken, güvenlik açıklarından yararlanmaya ilişkin teknik ayrıntılar yakın zamanda yayımlandı ve sonrasında saldırganların bunları saldırılarda kullanmaya başlamasına olanak sağladı.

Conti fidye çetesi kurumsal ağlara sızmak için ProxyShell zafiyetini kullanıyor

Geçen hafta Sophos ekipi, Conti fidye çetesinin bu yöntemi kullanarak bir müşterinin hacklendiği belirledi. Sophos, saldırıyı analiz ettikten sonra, saldırganların yakın zamanda açıklanan Microsoft Exchange Server ProxyShell güvenlik açıklarını kullanarak ağa sızdıklarını belirledi. Saldırganlar çeşitli sunucuları ele geçirdikten sonra cihazlara uzaktan erişim sağlamak için AnyDesk ve Cobalt Strike beacons gibi birden çok araç kuracaktı.

Saldırganlar ağ üzerine sızdıktan sonra şifrelenmemiş verileri çaldı ve sonrasında dosya paylaşım sunucusuna yükledi. Beş gün sonra, aşağıdaki komutu kullanarak antivirüs koruması olmayan bir sunucudan ağdaki cihazları şifrelemeye başladılar

start C:\x64.exe -m -net -size 10 -nomutex -p \\[computer Active Directory name]\C$

Bu saldırıyı öne çıkaran şey, grubun saldırıyı gerçekleştirdiği ilk ihlalden 1 TB veri çalmaya kadar yalnızca 48 saat gibi kısa bir zamanda gerçekleşmesi. Uzmanlar zafiyetten etkilenmemek için Exchange sunucuların hızlıca yamalanması konusunda uyarılarına devam ediyorlar.

Kaynak: bleepingcomputer.com