Microsoft는 2021년에 알려진 취약점에 대해 Exchange 서버를 패치했으며 대부분의 조직은 업그레이드했지만 일부는 그렇지 않았습니다. Hive는 이제 시스템 권한을 얻기 위해 ProxyShell 취약점을 통해 이러한 취약한 서버 인스턴스를 목표로 삼고 있습니다. 그런 다음 PowerShell 스크립트는 Cobalt Strike 를 시작 하고 “user”라는 새 시스템 관리자 계정을 만듭니다.
그런 다음 Mimikatz는 도메인 관리자의 NTLM 해시를 훔치고 해당 계정을 제어하는 데 사용됩니다. 성공적으로 손상되면 Hive는 네트워크 스캐너를 배포하여 IP 주소를 저장하고, 파일 이름에 “비밀번호”가 포함된 파일을 검색하고, RDP를 통해 백업 서버에 연결하여 민감한 자산에 액세스하여 일부 검색을 수행합니다.
마지막으로 사용자 지정 맬웨어 페이로드는 파일을 도용 및 암호화하고 섀도 복사본을 제거하고 이벤트 로그를 지우고 보안 메커니즘을 비활성화하는 “windows.exe” 파일을 통해 배포 및 실행됩니다. 이어 랜섬웨어에 대한 안내문을 띄워 해당 조직에 위치한 하이브 ‘영업팀’에 문의하라고 안내했다. Tor 네트워크를 통해 사용할 수 있는 양파. 손상된 조직에는 다음 지침도 제공됩니다.
- *.key를 변경하거나 이름을 바꾸거나 삭제하지 마십시오. 파일. 데이터가 암호화되지 않습니다.
- 암호화된 파일을 수정하거나 이름을 바꾸지 마십시오. 당신은 그들을 잃게됩니다.
- 경찰, FBI 등에 신고하지 마십시오. 그들은 당신의 일에 관심이 없습니다. 그들은 당신이 지불하도록하지 않습니다. 결과적으로 모든 것을 잃게 됩니다.
- 복구 회사를 고용하지 마십시오. 키 없이는 해독할 수 없습니다. 그들은 또한 당신의 사업에 관심이 없습니다. 그들은 자신이 좋은 협상가라고 생각하지만 그렇지 않습니다. 일반적으로 실패합니다. 그러니 스스로 말하십시오.
- 구매를 거부하지 마십시오. 추출된 파일은 공개됩니다.
Hive가 비용을 지불하지 않으면 해당 정보가 Tor 웹사이트 “HiveLeaks”에 게시되기 때문에 마지막 요점은 확실히 흥미롭습니다. 같은 웹사이트는 피해자가 돈을 지불하도록 카운트다운을 보여줍니다.
보안 팀은 한 경우 공격자가 최초 침해 후 72시간 이내에 환경을 암호화할 수 있었다고 언급했습니다. 따라서 조직은 Exchange 서버를 즉시 패치하고, 복잡한 암호를 주기적으로 변경하고, SMBv1을 차단하고, 액세스를 최대한 제한하고, 직원에게 사이버 보안에 대해 교육하는 것이 좋습니다.
출처: ZDNet 을 통한 Varonis Forensic Group .
답글 남기기