CVE-2021-31297

Hive нацелились на серверы Microsoft Exchange

По сообщениям исследователей из Varonis, для получения начального доступа рансомварщики используют ProxyShell — достаточно старый набор из трех багов (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297), дающий RCE без необходимости аутентификации.

В исследуемом кейсе следующим шагом стало развертывание четырех опенсорсных веб-шеллов и выполнение .ps-скрипта для загрузки Cobalt Strike. Запустив Mimikatz от имени забекдоренной таким образом учетки, им удалось добыть креденшлы администратора домена и выполнить боковое перемещение. Для этого, что занятно, решили воспользоваться легитимной тулзой 'SoftPerfect Network Scanner': с его помощью искали живые хосты в сети, на которые в последствии распространяли свою малварь.

Затем на скомпрометированных машинах искали важные данные, чтобы пригрозить компании их публикацией, тем самым увеличив вероятность получения выкупа. Когда с этим было покончено, рансомварщики (естественно, после удаления бэкапов, отключения Защитника Windows и заметания следов) свалили в закат, оставив после себя лишь шифровальщик, бинарник которого назвали Windows.exe. @NeKaspersky