محمد بختیاری

کاربران Exchange Server مایکروسافت هدف حمله باج‌افزار Hive قرار گرفته‌اند

به‌تازگی خبرهای متعددی درمورد مشکلات امنیتی در محصولات مایکروسافت منتشر شده و ظاهراً حالا نوبت به Exchange Server این شرکت رسیده است. مشتریان Exchange Server مایکروسافت هدف موجی از حملات باج‌افزاری قرار گرفته‌اند که توسط Hive، یکی از پلتفرم‌های معروف باج‌افزار، به‌عنوان سرویس (RaaS) انجام می‌شود و مشاغل و انواع سازمان‌ها را هدف قرار می‌دهد.

XDA درمورد مشکل امنیتی Exchange Server مایکروسافت می‌نویسد این حمله‌ی باج‌افزاری از مجموعه‌ای از آسیب‌پذیری‌ها در سرور Microsoft Exchange معروف به ProxyShell استفاده می‌کند. این مورد یک آسیب‌پذیری حیاتی اجرای کد از راه‌دور است که به مهاجمان اجازه می‌دهد تا کدهای موردنظر خود را به‌صورت راه‌دور روی سیستم‌های آسیب‌دیده‌ اجرا کنند. درحالی‌که وصله‌ی نرم‌افزاری برای رفع سه آسیب‌پذیری ProxyShell در مه ۲۰۲۱ منتشر شده است، بسیاری از کسب‌وکارها نرم‌افزار خود را آن‌طور که باید به‌روزرسانی نمی‌کنند؛ بدین‌ترتیب، مشتریان مختلفی تحت تأثیر این مشکل قرار می‌گیرند که ازجمله می‌توان به تیم پزشکی قانونی Varonis اشاره کرد که اولین‌بار این نوع حملات را گزارش داد.

هنگامی‌که مهاجمان از آسیب‌پذیری‌های ProxyShell سوءاستفاده کردند، یک اسکریپت وب را در یک فهرست عمومی در سرور Exchange هدف قرار می‌دهند و در گام بعد این اسکریپت، کد مخرب موردنظر را اجرا و سپس فایل‌های مرحله‌ای اضافه را از سرور فرمان و کنترل دانلود و اجرا می‌کند. مهاجمان در مرحله‌ی بعد یک مدیر سیستم جدید ایجاد و از Mimikatz برای سرقت هش NTLM استفاده می‌کنند که به آن‌ها اجازه می‌دهد بدون اطلاع از رمزهای عبور ازطریق تکنیک Pass-The-Hash کنترل سیستم را در دست بگیرند.

باج افزار Hive

مهاجمان برای یافتن فایل‌های حساس و مهم، کل شبکه را اسکن می‌کنند. در نهایت یک Payload سفارشی (فایل فریبنده‌‌ای که Windows.exe نامیده می‌شود) ایجاد و مستقر می‌شود تا همه‌ی داده‌ها را رمزنگاری و همچنین گزارش‌های رویداد را پاک کند. این فایل همچنین کپی‌های موجود را حذف و راهکارهای امنیتی دیگر را غیرفعال می‌کند تا شناسایی نشود. هنگامی‌که همه‌ی داده‌ها رمزنگاری می‌شوند، Payload هشداری به کاربران نشان می‌دهد که از آن‌ها درخواست می‌کند برای بازگرداندن داده‌های خود و ایمن نگه‌داشتن آن، هزینه‌ای پرداخت کنند.

مقاله‌ی مرتبط:

روش کار Hive این است که علاوه‌بر رمزنگاری داده‌ها، یک وب‌سایت قابل دسترسی ازطریق مرورگر Tor راه‌اندازی می‌کند که درصورت عدم موافقت با پرداخت، داده‌های حساس شرکت‌ها را به‌ اشتراک خواهد گذاشت. این شرایط برای قربانیانی که می‌خواهند داده‌های مهم همچنان محرمانه باقی بماند، فوریت اضافه‌ای ایجاد می‌کند.

طبق گزارش تیم پزشکی قانونی Varonis از بهره‌برداری اولیه‌ از آسیب‌پذیری Microsoft Exchange Server، کمتر از ۷۲ ساعت طول کشید تا مهاجمان در نهایت به هدف موردنظر خود در یک مورد خاص برسند.

اگر سازمان شما به سرور Microsoft Exchange متکی است، باید مطمئن شوید که آخرین وصله‌های امنیتی را نصب کرده‌اید تا از این موج حملات باج‌افزاری در امان بمانید. به‌طور کلی به‌روز بودن ایده‌ی بسیار خوبی است زیرا آسیب‌پذیری‌ها اغلب پس از انتشار وصله‌های امنیتی آشکار می‌شوند و سیستم‌های قدیمی‌تر را درمعرض دید مهاجمان قرار می‌دهند.

پاسخی بنویسید