بررسیها نشان میدهد گردانندگان Conti با سوءاستفاده از آسیبپذیریهای ProxyShell در سرورهای Exchange در حال نفوذ به شبکه قربانیان خود هستند.
۰
منبع : مرکز مدیریت راهبردی افتا
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بررسیها نشان میدهد گردانندگان Conti با سوءاستفاده از آسیبپذیریهای ProxyShell در سرورهای Exchange در حال نفوذ به شبکه قربانیان خود هستند.
ProxyShell به مجموعه سه آسیبپذیری زیر اطلاق میشود:
CVE-۲۰۲۱-۳۴۴۷۳ که ضعفی از نوع Remote Code Execution است و در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.
CVE-۲۰۲۱-۳۴۵۲۳ که ضعفی از نوع Elevation of Privilege است. این آسیبپذیری نیز در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.
CVE-۲۰۲۱-۳۱۲۰۷ که ضعفی از نوع Security Feature Bypass است و در ۲۱ اردیبهشت ۱۴۰۰ توسط مایکروسافت وصله شد.
جزئیات این سه آسیبپذیری توسط یک محقق امنیتی در جریان مسابقات هک Pwn2Own در آوریل ۲۰۲۱ افشا شد. در ماههای اخیر مهاجمان از آسیبپذیریهای ProxyShell برای نصب Webshell، Backdoor و استقرار باجافزار LockFile استفاده کردهاند.
محققان شرکت Sophos نیز پس از تحلیل یکی از حملات اخیر مهاجمان Conti، دریافتند که مهاجمان در ابتدا با سوءاستفاده از آسیبپذیریهای ProxyShell، به هک سرورهای Exchange و نفوذ به شبکه قربانی اقدام کردهاند.
در اکثر حملات به سروهای Exchange، مهاجمان ابتدا از کدهای Webshell برای اجرای فرمانها، دانلود نرمافزار و سپس آلودهسازی سرور استفاده میکنند. به نقل از تیم تحقیقاتی Sophos، همانطور که در کتابچه راهنمای Conti بهتازگی فاش شده است، هنگامی که مهاجمان کنترل کامل سرور را در اختیار میگیرند بهسرعت تاکتیکهای معمول خود را اجرا میکنند. این روال شامل کشف فهرست کامپیوترها و کاربران با سطح دسترسی Domain Admin، بهرهگیری LSASS جهت استخراج اطلاعات هویتی کاربران با سطح دسترسی بالا از حافظه و گسترش دامنه نفوذ در سراسر شبکه میباشد. مهاجمان جهت دسترسی از راه دور به دستگاهها، از چندین ابزار همچون AnyDesk و Cobalt Strike استفاده میکنند.
در تصویر زیر فهرستی از ابزارهایی که باجافزار Conti در هر یک از مراحل حمله از آن استفاده کرده، مشاهده میشود.
شکل ۱: فهرست ابزارهای مورد استفاده Conti
بررسی محققان Sophos نشان میدهد، مهاجمان پس از استقرار در شبکه، دادهها را سرقت کرده و آنها را در MEGA (سامانهای جهت اشتراک فایل) بارگذاری کرده بودند. پس از پنجروز نیز با استفاده از فرمانهای زیر بر روی یک سرور فاقد ضدویروس، اقدام به رمزگذاری فایلهای دستگاههای متصل به شبکه کردند.
در طول نفوذ، مهاجمانConti حداقل هفت Backdoor را در شبکه مورداستفاده قرار دادند؛ دو Webshell، Cobalt Strike و چهار ابزار دسترسی از راه دور تجاری (AnyDesk، Atera، Splashtop و Remote Utilities).
کدهای Webshell در اوایل نفوذ نصب شده و عمدتاً برای دسترسی اولیه مورداستفاده قرار گرفتند؛ درحالیکه Cobalt Strike و Any Desk ابزارهای اصلی بودند که در جریان این حمله از آنها بهره گرفته شده بود.
هنگامی که حملات با سوءاستفاده از ProxyShell صورت میگیرد، مهاجمان با درخواستهایی نظیر نمونه زیر، سرویس Autodiscover را مورد هدف قرار میدهند.
در حمله باجافزاری Conti که توسط سوفوس تحلیل شده است، مهاجمان همانند آنچه در تصویر نشاندادهشده، از ایمیل @evil.corp استفاده کرده بودند که این بهوضوح تلاشهایی را برای سوءاستفاده از ضعف امنیتی آشکار میکرد.
شکل ۲: استفاده از ایمیل @evil.corp در جریان حمله باجافزاری Conti
بدون شک، در حال حاضر آسیبپذیریهای ProxyShell، توسط طیف وسیعی از مهاجمان مورد سوءاستفاده قرار میگیرد. کارشناسان مرکز راهبردی افتا توصیه کردند، راهبران سرورهای Exchange، نصب آخرین اصلاحیههای امنیتی و بهروزرسانیهای موسوم به Cumulative Update - بهاختصار CU - را جهت ایمن ماندن از گزند حملات مبتنی بر ضعفهای امنیتی Exchange نظیر ProxyShell و ProxyToken در اولویت خود قرار دهند.
مشروح گزارش سوفوس در لینک زیر قابلمطالعه است:
https://www.bleepingcomputer.com/news/security/conti-ransomware-now-hacking-exchange-servers-with-proxyshell-exploits
کد مطلب : 18265
https://aftana.ir/vdcbs5b8.rhbw0piuur.htmlaftana.ir/vdcbs5b8.rhbw0piuur.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵