Conti Ransomware Meretas Server MS Exchange Menggunakan ProxyShell Exploits

  • Whatsapp
Conti Ransomware Meretas Server MS Exchange Menggunakan ProxyShell Exploits
Conti Ransomware Meretas Server MS Exchange Menggunakan ProxyShell Exploits
Ransomware Akun

Para peneliti menemukan serangan baru yang sedang berlangsung oleh Conti Ransomware Gang yang menggunakan ProxyShell untuk menargetkan jaringan organisasi.

ProxySell adalah eksploitasi yang ditulis untuk menyalahgunakan kerentanan Microsoft Exchange yang dilaporkan selama beberapa bulan terakhir, juga ditambal oleh Microsoft dan merilis pembaruan pada Mei 2021 di bawah patch Selasa.

Conti adalah salah satu geng ransomware yang kejam, dan FBI melaporkan bahwa geng itu terlibat dengan lebih dari 400 serangan dunia maya tingkat tinggi dengan tuntutan hingga $25 juta.

Serangan ProxySell baru digunakan oleh kelompok Ransomware, dan eksploitasi yang sama telah digunakan oleh ransomware LockFile, sekarang digunakan oleh Conit Ransomware.

Peneliti dari Sophos percaya bahwa penyerang telah memperoleh pengalaman dengan teknik, waktu tunggu mereka sebelum meluncurkan muatan ransomware terakhir pada jaringan target.

Juga Conti ransomware mendapatkan akses ke jaringan yang ditargetkan dalam waktu kurang dari satu menit dan mengatur Shell Web jarak jauh. Setelah ini, mereka memasang web shell kedua yang berfungsi sebagai cadangan.

30 menit kemudian, Penyerang membuat daftar lengkap komputer yang digunakan di jaringan yang ditargetkan, pengontrol domain, dan admin domain.

Untuk menjalankan perintah, dibutuhkan satu jam untuk mendapatkan kredensial akun administrator domain, dalam 48 jam lagi, mereka mengekstrak sekitar 1 Terabyte data, dan akhirnya, mereka menyebarkan ransomware Conti ke setiap mesin di jaringan dalam waktu 48 jam.

Analisis Teknis

Rantai kerentanan pertukaran Microsoft (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) telah diperbaiki dalam pembaruan kumulatif April, Mei Exchange Server baru-baru ini, yang menyebabkan organisasi meningkatkan server pertukaran mereka.

Tetapi beberapa organisasi meninggalkan server pertukaran tanpa menerapkan tambalan karena waktu henti email, dan menyerahkannya kepada penyerang yang biasa memindai sistem yang rentan.

Setelah penyerang berhasil masuk ke jaringan, penyerang membuat kotak surat baru untuk “administrator”, dan menempatkan peran baru dengan bantuan Microsoft Exchange “cmdlet” yang membantu mereka untuk menjalankan perintah Shell dari jarak jauh.

\127.0.0.1C$inetpubwwwrootaspnet_clientaspnetclient_log.aspx

Kemudian, penyerang membuat web shell di alamat localhost server dan mengeksekusi skrip PowerShell yang dikodekan di base64.

Pada tahap berikutnya, serangan menggunakan perintah yang dikodekan untuk menyalahgunakan Service Control Manager untuk menjalankan pencarian direktori pada direktori tempat web shell dijatuhkan.

Dalam Fase Pengintaian, penyerang perintah PowerShell lain untuk mengambil daftar komputer domain dari file teks dan mengumpulkan informasi tentang konfigurasi jaringan, administrator domain, pengguna yang terhubung secara aktif ke sistem, ID proses Layanan Subsistem Otoritas Keamanan Lokal. sophos dikatakan.

Setelah mereka mengumpulkan semua data yang diperlukan, penyerang menjatuhkan file yang dapat dieksekusi (SVN.exe) dan mengeksekusinya di sistem kemudian membuat koneksi ke server C2 yang ditempatkan di Finlandia.

Setelah tahap awal kompromi dilakukan, penyerang mencuri kredensial kemudian memulai gerakan lateral menggunakan akun administrator domain yang telah mereka retas.

“Akun itu digunakan untuk membuat koneksi RDP dari server Exchange ke server lain. Satu menit kemudian, log server itu menunjukkan akun admin domain mengunduh dan menginstal perangkat lunak desktop jarak jauh AnyDesk sebagai layanan.”

Akhirnya, penyerang menyebarkan utilitas penyalinan File yang disebut Rclone di beberapa server dengan bantuan file PowerShell.

Kemudian tanggal telah ditransfer ke layanan berbagi file Mega yang mencakup alamat drive jarak jauh dan nama pengguna & kata sandi untuk akun itu.

Tepat hari ke-5 sejak pelaku kompromi intimConti mulai menyebarkan ransomware dan mulai mengenkripsi file.

“Empat skrip batch (disebut 1help.bat, 2help.bat, 3help.bat, dan 4help.bat) dijalankan dari empat server. File batch berulang kali memanggil ransomware yang dapat dieksekusi (x64.exe), dengan setiap iterasi menargetkan drive tertentu pada setiap sistem Windows di jaringan dengan nama berbagi file default mereka “

ProxyShell dan serangan lain pada kerentanan Microsoft Exchange yang diketahui sangat tinggi sekarang. Organisasi disarankan untuk memperbarui dan menambal server Exchange Server lokal sesegera mungkin.

Inilah yang baru-baru ini pembaruan yang dirilis dengan patch untuk server Microsoft Exchange.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk keamanan siber harian dan pembaruan berita peretasan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.