نمایش جزئیات

گروه Conti Ransomware Gang اقدام به هک سرورهای Microsoft Exchange کرد

محققان یک حمله جدید توسط Conti Ransomware Gang را کشف کردند که از ProxyShell برای هدف قرار دادن شبکه‌های سازمان استفاده کرد.

ProxySell یک سوءاستفاده است که از آسیب پذیری‌های Microsoft Exchange طی ماه های گذشته گزارش شده است. همچنین توسط مایکروسافت وصله شده و در مه 2021 به روز رسانی شد. کانتی یکی از گروه های باج افزار بی رحمانه است و FBI گزارش داد که این باند با درخواست 25 میلیون دلار در بیش از 400 حمله سایبری برجسته دست داشته است.

حمله ProxySell جدید توسط گروههای Ransomware استفاده می شود و همان سوءاستفاده ای که قبلاً توسط باج افزار LockFile استفاده شده بود اکنون توسط Conit Ransomware مورد استفاده قرار می گیرد.

محققان Sophos معتقدند که مهاجمان با استفاده از این تکنیک ها ، زمان اقامت خود را قبل از راه اندازی آخرین بار باج افزار در شبکه های هدف به دست آورده اند. همچنین باج افزار Conti در کمتر از یک دقیقه به شبکه مورد نظر دسترسی پیدا کرده و یک Web Shell از راه دور راه اندازی می کند. به دنبال آن ، آنها یک پوسته وب دیگر را نصب کردند که به عنوان پشتیبان عمل می کند.

30 دقیقه بعد ، مهاجمان یک لیست کامل از رایانه های مستقر در شبکه مورد نظر کنترل کننده دامنه و مدیران دامنه ایجاد می کنند. برای اجرای دستورات  یک ساعت طول می کشد تا اعتبار حسابهای مدیر دامنه را بدست آورید  در 48 ساعت دیگر  آنها حدود 1 ترابایت داده را مورد بررسی قرار دادند و در نهایت  باج افزار Conti را در 48 ساعت روی هر دستگاه موجود در شبکه مستقر کردند.

 

تجزیه و تحلیل فنی

زنجیره ای از آسیب پذیری‌های تبادل مایکروسافت (CVE-2021-34473 ، CVE-2021-34523 ، CVE-2021-31207) در به روزرسانی تجمعی آوریل ، مه Exchange اخیر که منجر به ارتقای سرور مبادله خود توسط سازمان می شود برطرف شد. اما برخی از سازمانها سرور مبادله را بدون استفاده از وصله به دلیل خرابی ایمیل ترک می کنند و آنها را به مهاجمانی واگذار می کند که قبلاً سیستم های آسیب پذیر را اسکن می کردند.

هنگامی که مهاجمان با موفقیت وارد شبکه شدند مهاجمان یک صندوق پستی جدید برای "administrator" ایجاد می کنند و با کمک cmdlet های Microsoft Exchange نقش جدیدی را ایجاد می کنند که به آنها کمک می کند تا دستورات Shell را از راه دور اجرا کنند.

\127.0.0.1C$\inetpub\wwwroot\aspnet_client\aspnetclient_log.aspx

مهاجمان یک پوسته وب در آدرس localhost از sever ایجاد می کنند و یک اسکریپت PowerShell را که در base64 کدگذاری شده است اجرا می کنند. در مرحله بعدی با استفاده از دستور رمزگذاری شده  از Service Control Manager سوء استفاده کنید تا فهرست مورد نظر را در پوشه ای که پوسته وب در آن افتاده است اجرا کند.

در مرحله شناسایی فرمان PowerShell دیگری را برای بازیابی لیست رایانه های دامنه از فایل متنی و جمع آوری اطلاعات مربوط به پیکربندی شبکه  مدیران دامنه ، کاربران فعالانه به سیستم شناسه پردازش سرویس زیر سیستم Local Security Authority حمله می کند. پس از جمع آوری تمام داده های لازم  مهاجم یک فایل اجرایی (SVN.exe) را رها کرده و روی سیستم اجرا می کند و سپس با سرور C2 که در فنلاند قرار دارد ارتباط برقرار می کند.

هنگامی که مرحله اولیه سازش انجام شد مهاجمان با سرقت اعتبارنامه با استفاده از یک حساب مدیر دامنه موجود که آنها را شکسته بودند حرکت جانبی را آغاز کردند. در نهایت مهاجمان ابزار کپی فایل به نام Rclone را با استفاده از فایل PowerShell در سرورهای متعدد مستقر کردند.

بعداً تاریخ به سرویس اشتراک فایل Mega منتقل می شود که شامل آدرس درایوهای راه دور و نام کاربری و رمز عبور آن حساب است. دقیقاً پنجمین روز از زمان سازش داخلی  بازیگران Conti شروع به استقرار باج افزار کردند و رمزگذاری پرونده ها را آغاز کردند. ProxyShell و سایر حملات به آسیب پذیری های شناخته شده Microsoft Exchange در حال حاضر بسیار زیاد است. به سازمانها توصیه می شود که سرورهای Exchange Server را در اسرع وقت به روز رسانی و وصله کنند.