เมนู

Hive Ransomware กำลังมุ่งเป้าโจมตี Microsoft Exchange Server ผ่านช่องโหว่ ProxyShell

Hive1040

Hive Ransomware กำลังมุ่งเป้าโจมตี Microsoft Exchange Server

 26 เมษายน 2565

🐝 Hive Ransomware กำลังมุ่งเป้าโจมตี Microsoft Exchange Server ผ่านช่องโหว่ ProxyShell เพื่อ Deploy บรรดาแบ็คดอร์ต่างๆ รวมถึง Cobalt Strike ด้วย โดยผู้บุกรุกจะเริ่มต้นจากการตรวจสอบข้อมูลเบื้องต้นภายในเครือข่าย จารกรรมข้อมูลของบัญชีผู้ดูแลระบบ เปิดเผยข้อมูลที่มีความสำคัญ ตลอดจนการรหัสไฟล์ข้อมูลต่างๆ 🔐

📌 ProxyShell ประกอบด้วยช่องโหว่ที่สำคัญของ Microsoft Exchange Server ถึง 3 รายการ ได้แก่ CVE-2021-34473 ( CVSS 9.8 ) ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Exchange Server CVE-2021-34523 ( CVSS 9.8 ) ช่องโหว่การใช้สิทธิพิเศษของผู้ดูแลระบบในการเข้าถึงข้อมูล และ CVE-2021-31207 ( CVSS 7.2 ) ช่องโหว่การเข้าใช้งานโดยไม่ต้อง ตรวจสอบสิทธิ์ หรือระบุตัวตนผู้ใช้งาน ซึ่งได้ถูกนำไปใช้โดยแรนซั่มแวร์หลายตัว ได้แก่ Conti, BlackByte, Babuk, Cuba, และ LockFile 🦠
 
⏱ อย่างไรก็ตาม ช่องโหว่เหล่านี้ได้รับการแพตซ์แล้วตั้งแต่พฤษภาคม 2564 ในขณะที่ข้อมูลเชิงเทคนิคได้รับการเผยแพร่ออกมาในเดือนสิงหาคม 2564 
 
❗กรณีตัวอย่างของซอฟต์แวร์ที่ใช้แสกนภายในเครือข่าย คือ SoftPerfect ซึ่งเป็นเครื่องมือขนาดเล็กที่ใช้ในการ Enum Host ที่กำลังเปิดให้บริการด้วยการ Ping และบันทึกผลลงเป็น Text File
 
❗ท้ายที่สุด Payload ของแรนซั่มแวร์ที่ชื่อ Windows.exe จะได้ถูกเรียกใช้งานบนอุปกรณ์ต่างๆ ก่อนที่บรรดาแฟ้มข้อมูลจะถูกนำไปเปิดเผย
 
❗ทั้งนี้ ก่อนที่จะเริ่มเข้ารหัสข้อมูล Golang จะลบ Shadow Copies, ปิดการทำงานของ Windows Defender, ลบข้อมูล Windows Event Log, ยุติการทำงานของ File-Binding Processes และ Security Accounts Manager เพื่อไม่ให้สามารถแจ้งเตือนได้
 
🔥ขั้นตอนการโจมตี 🔥
 
1️⃣ ProxyShell and WebShell
ผู้บุกุรกจะใช้ช่องโหว่ ProxyShell โจมตี Exchange Server โดยการฝัง Backdoor Script ที่ชื่อ WebShell บน Public Directory ของ Exchange ซึ่งเมื่อถูกเรียกใช้งานจะสามารถเข้ายึดครองเครื่องด้วยสิทธิระดับ SYSTEM
 
2️⃣ Cobalt Strike
การใช้คำสั่ง PowerShell รันการทำงานบนเซิร์ฟเวอร์ (Command & Control) เพื่อเชื่อมต่อการใช้งาน Framework และนำไปใช้งานในส่วนของหน่อยความจำข้อมูล
 
3️⃣ Mimikatz and Pass-The-Hash
ใช้สิทธิ์ของผู้ดูแลระบบสร้าง user ผู้ใช้งานขึ้นมาใหม่ เข้าใช้งานระบบผ่านโดเมนหลักโดยที่ไม่ต้องใช้รหัสผ่าน เพื่อควบคุมการใช้งาน NTLM และบัญชีของผู้ดูแลระบบ
 
4️⃣ Scanning for sensitive information
ทำการสแกนหาข้อมูลทั้งเครือข่ายในระบบ IP address ชื่ออุปกรณ์การใช้งานต่างๆ เพื่อตรวจหาข้อมูลทั่วไปไม่ว่าจะเป็น ระบบสำรองข้อมูลที่มีการเชื่อมต่อไปยังอุปกรณ์เซิร์ฟเวอร์ รวมถึงไฟล์ที่สำคัญที่ถูกเข้ารหัสความปลอดภัยไว้
 
5️⃣ Ransomware deployment
มัลแวร์จะสร้างไฟล์ที่ชื่อว่า Windows.exe และส่งไปรันบนอุปกรณ์ต่างๆ เพื่อการเข้ารหัสและปฏิเสธการเข้าถึงแฟ้มข้อมูล