聲明：該文章由作者（Pleasure）發(fā)表，轉載此文章須經作者同意并請附上出處(0XUCN)及本頁鏈接。。

攻擊始于對 CVE-2023-22527 的利用，CVE-2023-22527 是 Confluence 中的一個服務器端模板注入漏洞，允許未經身份驗證的攻擊者執(zhí)行任意命令。初始訪問被追蹤到一個 IP 地址 （92[.]51.2.22），攻擊者在其中執(zhí)行了 net user 和 whoami 等系統(tǒng)發(fā)現(xiàn)命令。

根據(jù) DFIR 報告，“威脅行為者活動的第一個跡象是系統(tǒng)發(fā)現(xiàn)命令的執(zhí)行，包括 net user 和 whoami。

在獲得訪問權限后不久，攻擊者嘗試通過 curl 下載 AnyDesk，但最初嘗試失敗。然后，他們采用mshta.exe來執(zhí)行包含 Metasploit 暫存器的遠程 HTA 文件，成功建立了命令和控制 （C2）。

安裝 AnyDesk 后，威脅行為者會為其配置預設密碼，以確保持續(xù)的遠程訪問?！鞍惭b后，AnyDesk 配置了預設密碼，為威脅行為者提供持續(xù)的遠程訪問，”報告指出。

攻擊者迅速行動，執(zhí)行進程枚舉命令來識別其他惡意行為者并終止競爭進程。在此階段，他們無意中殺死了自己的 Metasploit 會話，迫使他們重新運行漏洞并重建 C2。

使用 Mimikatz，攻擊者成功提取了憑證，并通過 RDP 橫向移動到備份服務器，在那里他們運行 PowerShell 腳本 （Veeam-Get-Creds-New.ps1） 來竊取 Veeam 憑證。這些憑證有助于訪問文件共享服務器，他們使用 Rclone 將數(shù)據(jù)從中泄露到 MEGA.io。

一旦攻擊者完全控制了環(huán)境，他們就開始手動和通過自動化方法部署 LockBit 勒索軟件：

手動執(zhí)行：LockBit 在備份服務器和文件共享服務器上手動執(zhí)行。自動部署：PDQ Deploy 是一種合法的企業(yè)部署工具，用于通過 SMB 將勒索軟件二進制文件推送到網絡上。Secondary Encryption Wave：在 Exchange 服務器上執(zhí)行故障安全批處理腳本，以加密任何遺漏的目標?！笆褂?PDQ Deploy，威脅行為者通過 SMB 將勒索軟件二進制文件和批處理腳本分發(fā)到遠程主機，”研究人員詳細說明。

有關攻擊時間線和技術指標的詳細分類，請訪問 DFIR 報告。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/