بررسی‌ها نشان می‌دهد گردانندگان Conti با سوء‌استفاده از آسیب‌پذیری‌های ProxyShell در سرورهای Exchange در حال نفوذ به شبکه قربانیان خود هستند.

باج‌افزار Conti با سوء‌استفاده از آسیب‌پذیری‌های ProxyShell در سرورهای Exchange قربانی می‌گیرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بررسی‌ها نشان می‌دهد گردانندگان Conti با سوء‌استفاده از آسیب‌پذیری‌های ProxyShell در سرورهای Exchange در حال نفوذ به شبکه قربانیان خود هستند.

 ProxyShell به مجموعه سه آسیب‌پذیری زیر اطلاق می‌شود:
CVE-۲۰۲۱-۳۴۴۷۳ که ضعفی از نوع Remote Code Execution است و در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.

CVE-۲۰۲۱-۳۴۵۲۳ که ضعفی از نوع Elevation of Privilege است. این آسیب‌پذیری نیز در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.

CVE-۲۰۲۱-۳۱۲۰۷ که ضعفی از نوع Security Feature Bypass است و در ۲۱ اردیبهشت ۱۴۰۰ توسط مایکروسافت وصله شد.

جزئیات این سه آسیب‌پذیری توسط یک محقق امنیتی در جریان مسابقات هک Pwn2Own در آوریل ۲۰۲۱ افشا شد. در ماه‌های اخیر مهاجمان از آسیب‌پذیری‌های ProxyShell برای نصب Webshell، Backdoor و استقرار باج‌افزار LockFile استفاده کرده‌اند.

محققان شرکت Sophos نیز پس از تحلیل یکی از حملات اخیر مهاجمان Conti، دریافتند که مهاجمان در ابتدا با سوءاستفاده از آسیب‌پذیری‌های ProxyShell، به هک سرورهای Exchange و نفوذ به شبکه قربانی اقدام کرده‌اند.

در اکثر حملات به سروهای Exchange، مهاجمان ابتدا از کدهای Webshell برای اجرای فرمان‌ها، دانلود نرم‌افزار و سپس آلوده‌سازی سرور استفاده می‌کنند. به نقل از تیم تحقیقاتی Sophos، همان‌طور که در کتابچه راهنمای Conti به‌تازگی فاش شده است، هنگامی که مهاجمان کنترل کامل سرور را در اختیار می‌گیرند به‌سرعت تاکتیک‌های معمول خود را اجرا می‌کنند. این روال شامل کشف فهرست کامپیوترها و کاربران با سطح دسترسی Domain Admin، بهره‌گیری LSASS جهت استخراج اطلاعات هویتی کاربران با سطح دسترسی بالا از حافظه و گسترش دامنه نفوذ در سراسر شبکه می‌باشد. مهاجمان جهت دسترسی از راه دور به دستگاه‌ها، از چندین ابزار همچون AnyDesk و Cobalt Strike استفاده می‌کنند.

در تصویر زیر فهرستی از ابزارهایی که باج‌افزار Conti در هر یک از مراحل حمله از آن استفاده کرده، مشاهده می‌شود.