Вымогатели BlackByte атакуют серверы Microsoft Exchange через уязвимости ProxyShell

Кибервымогательская группировка BlackByte взламывает корпоративные сети через уязвимости ProxyShell в серверах Microsoft Exchange.

ProxyShell – название связки из трех уязвимостей в Microsoft Exchange, совокупная эксплуатация которых позволяет удаленно выполнить на сервере произвольный код без авторизации. Уязвимости были исправлены в апреле и мае 2021 года:

CVE-2021-34473 – обход списка обхода доступа (Access Control List, ACL Bypass). Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-34523 – повышение привилегий в Exchange PowerShell Backend. Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-31207 – удаленное выполнение кода. Исправлена в мае 2021 года в обновлении KB5003435.

Исследователи безопасности компании Red Canary проанализировали атаки BlackByte и обнаружили, что они осуществляются через ProxyShell путем установки на серверы web-оболочек. С помощью web-оболочек злоумышленники загружают на атакуемый сервер бикон Cobalt Strike, внедренный в процесс Windows Update Agent. Cobalt Strike затем используется для похищения данных авторизации в учетной записи сервиса на скомпрометированной системе. После захвата учетной записи злоумышленники устанавливают инструмент для удаленного доступа к системе AnyDesk и осуществляют боковое перемещение по сети.

Как правило, операторы вымогательского ПО используют в атаках сторонние инструменты для повышения своих привилегий и развертывания в сети вымогательского ПО. Однако в случае с BlackByte главную роль играет исполняемый файл самого вредоноса, способный повышать привилегии и перемещаться по сети подобно червю.

Вредонос устанавливает три значения реестра – для локального повышения привилегий, включения совместного использования сетевого подключения между всеми уровнями привилегий и разрешения длинных значений пути для директорий, имен и пространств имен файлов.

Перед шифрованием вредонос удаляет запланированную задачу "Raccine Rules Updater" в целях предотвращения его перехвата в последнюю минуту и стирает теневые копии непосредственно через объекты WMI с помощью обфусцированной команды PowerShell.

В итоге похищенные файлы архивируются с помощью WinRAR и выводятся через анонимные файлообменники наподобие "file.io" или "anonymfiles.com."

Поскольку ИБ-компания Trustwave выпустила бесплатный инструмент для восстановления зашифрованных BlackByte файлов еще в октябре 2021 года, вряд ли вымогатели продолжают использовать те же тактики шифрования. Другими словами, новые жертвы BlackByte вряд ли смогут восстановить свои файлы с помощью декриптора Trustwave. Специалисты Red Canary зафиксировали уже несколько «свежих» вариантов BlackByte.