Une filiale de Hive ransomware a ciblé les serveurs Microsoft Exchange vulnérables aux problèmes de sécurité ProxyShell pour déployer diverses portes dérobées, y compris la balise Cobalt Strike.
À partir de là, les acteurs de la menace effectuent une reconnaissance du réseau, volent les informations d’identification du compte administrateur, exfiltrent des données précieuses, déployant finalement la charge utile de cryptage des fichiers.
Les détails proviennent de la société de sécurité et d’analyse Varonisqui a été appelé pour enquêter sur une attaque de ransomware contre l’un de ses clients.
Un accès initial largement abusé
ProxyShell est un ensemble de trois vulnérabilités dans Microsoft Exchange Server qui permettent l’exécution de code à distance sans authentification sur les déploiements vulnérables. Les failles ont été utilisées par plusieurs acteurs de la menace, y compris des ransomwares comme Conti, BlackByte, Babuk, Cuba et LockFile, après que les exploits soient devenus disponibles.
Les failles sont suivies comme CVE-2021-34473, CVE-2021-34523 et CVE-2021-31297, et leur indice de gravité varie de 7,2 (élevé) à 9,8 (critique).
Les vulnérabilités de sécurité sont considérées comme entièrement corrigées en mai 2021, mais des détails techniques détaillés à leur sujet n’ont été rendus disponibles qu’en août 2021, et peu de temps après, une exploitation malveillante a commencé. [1, 2].
Le fait que l’affilié de Hive ait réussi à exploiter ProxyShell lors d’une récente attaque montre qu’il est encore possible de cibler des serveurs vulnérables.
De l’accès au cryptage
Suite à l’exploitation de ProxyShell, les pirates ont planté quatre shells Web dans un répertoire Exchange accessible et ont exécuté du code PowerShell avec des privilèges élevés pour télécharger les stagers Cobalt Strike.
Les shells Web utilisés dans cette attaque particulière provenaient d’un référentiel Git public et ont simplement été renommés pour échapper à la détection lors d’éventuelles inspections manuelles.
À partir de là, les intrus ont utilisé Mimikatz, un voleur d’informations d’identification, pour arracher le mot de passe d’un compte d’administrateur de domaine et effectuer un mouvement latéral, accédant à plus d’actifs sur le réseau.
Ensuite, les acteurs de la menace ont effectué des opérations de recherche de fichiers approfondies pour localiser les données les plus précieuses afin de faire pression sur la victime pour qu’elle paie une rançon plus importante.
Les analystes de Varonis ont vu des restes d’analyseurs de réseau abandonnés, de listes d’adresses IP, d’énumérations de périphériques et de répertoires, de RDP vers des serveurs de sauvegarde, d’analyses de bases de données SQL, etc.
Un cas notable d’abus de logiciel d’analyse de réseau était « SoftPerfect », un outil léger que l’auteur de la menace utilisait pour énumérer les hôtes en direct en leur envoyant un ping et en enregistrant les résultats dans un fichier texte.
Enfin, et après que tous les fichiers aient été exfiltrés, une charge utile de ransomware nommée « Windows.exe » a été abandonnée et exécutée sur plusieurs appareils.
Avant de chiffrer les fichiers de l’organisation, la charge utile Golang a supprimé les clichés instantanés, désactivé Windows Defender, effacé les journaux d’événements Windows, tué les processus de liaison de fichiers et arrêté le gestionnaire de comptes de sécurité pour neutraliser les alertes.
Évolution de la ruche
Hive a parcouru un long chemin depuis qu’il a été observé pour la première fois dans la nature en juin 2021, avec un démarrage réussi qui a incité le FBI à publier un rapport dédié sur ses tactiques et ses indicateurs de compromis.
En octobre 2021, le gang Hive a ajouté des variantes Linux et FreeBSD, et en décembre, il est devenu l’une des opérations de ransomware les plus actives en termes de fréquence d’attaque.
Le mois dernier, des chercheurs de Sentinel Labs ont rendu compte d’une nouvelle méthode d’obscurcissement de la charge utile employée par Hive, ce qui indique un développement actif.