攻擊始于對(duì) CVE-2023-22527 的利用，CVE-2023-22527 是 Confluence 中的一個(gè)服務(wù)器端模板注入漏洞，允許未經(jīng)身份驗(yàn)證的攻擊者執(zhí)行任意命令。初始訪問被追蹤到一個(gè) IP 地址 （92[.]51.2.22），攻擊者在其中執(zhí)行了 net user 和 whoami 等系統(tǒng)發(fā)現(xiàn)命令。

根據(jù) DFIR 報(bào)告，“威脅行為者活動(dòng)的第一個(gè)跡象是系統(tǒng)發(fā)現(xiàn)命令的執(zhí)行，包括 net user 和 whoami。

在獲得訪問權(quán)限后不久，攻擊者嘗試通過 curl 下載 AnyDesk，但最初嘗試失敗。然后，他們采用mshta.exe來執(zhí)行包含 Metasploit 暫存器的遠(yuǎn)程 HTA 文件，成功建立了命令和控制 （C2）。

安裝 AnyDesk 后，威脅行為者會(huì)為其配置預(yù)設(shè)密碼，以確保持續(xù)的遠(yuǎn)程訪問?！鞍惭b后，AnyDesk 配置了預(yù)設(shè)密碼，為威脅行為者提供持續(xù)的遠(yuǎn)程訪問，”報(bào)告指出。

攻擊者迅速行動(dòng)，執(zhí)行進(jìn)程枚舉命令來識(shí)別其他惡意行為者并終止競(jìng)爭(zhēng)進(jìn)程。在此階段，他們無意中殺死了自己的 Metasploit 會(huì)話，迫使他們重新運(yùn)行漏洞并重建 C2。

使用 Mimikatz，攻擊者成功提取了憑證，并通過 RDP 橫向移動(dòng)到備份服務(wù)器，在那里他們運(yùn)行 PowerShell 腳本 （Veeam-Get-Creds-New.ps1） 來竊取 Veeam 憑證。這些憑證有助于訪問文件共享服務(wù)器，他們使用 Rclone 將數(shù)據(jù)從中泄露到 MEGA.io。

一旦攻擊者完全控制了環(huán)境，他們就開始手動(dòng)和通過自動(dòng)化方法部署 LockBit 勒索軟件：

手動(dòng)執(zhí)行：LockBit 在備份服務(wù)器和文件共享服務(wù)器上手動(dòng)執(zhí)行。自動(dòng)部署：PDQ Deploy 是一種合法的企業(yè)部署工具，用于通過 SMB 將勒索軟件二進(jìn)制文件推送到網(wǎng)絡(luò)上。Secondary Encryption Wave：在 Exchange 服務(wù)器上執(zhí)行故障安全批處理腳本，以加密任何遺漏的目標(biāo)?！笆褂?PDQ Deploy，威脅行為者通過 SMB 將勒索軟件二進(jìn)制文件和批處理腳本分發(fā)到遠(yuǎn)程主機(jī)，”研究人員詳細(xì)說明。

有關(guān)攻擊時(shí)間線和技術(shù)指標(biāo)的詳細(xì)分類，請(qǐng)?jiān)L問 DFIR 報(bào)告。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/