بمجرد اختراق الشبكة ، يتمكن المتسللون من الوصول إلى Microsoft Exchange من خلال ProxyShell ثم السيطرة على المجال من خلال PetitPotam.
تقوم مجموعة برامج الفدية الإلكترونية LockFile الجديدة بتشفير مجالات Windows بعد اختراق خوادم Microsoft Exchange من خلال ثغرات ProxyShell سيئة السمعة والوصول إلى وحدة تحكم المجال من خلال ثغرة PetitPotam.
ProxyShell هي ثلاث نقاط ضعف اكتشفها باحث أمني كبير في Devcore Orange Tsai ، الذي استخدمها لاختراق خادم Microsoft Exchange في مسابقة Pwn2Own في أبريل 2021.
CVE-2021-34473 - قائمة التحكم في الوصول (تجاوز ACL). تم إصلاحه في أبريل 2021 في التحديث KB5001779 ؛
CVE-2021-34523 - تصعيد الامتياز في Exchange PowerShell Backend. تم إصلاحه في أبريل 2021 في التحديث KB5001779 ؛
CVE-2021-31207 - تنفيذ التعليمات البرمجية عن بُعد. ثابت في مايو 2021 في تحديث KB5003435.
وفقا ل باحث الأمن كيفن بومونت، بدأت القائمين على انتزاع الفدية جديدة استغلال ProxyShell وPetitPotam الضعف الإختراق مجالات Windows من أجل مزيد من أجهزة تشفير على الشبكة.
بعد اختراق الشبكة ، يتمكن المتسللون من الوصول إلى خوادم Microsoft Exchange المحلية من خلال ثغرات ProxyShell. بعد الحصول على موطئ قدم في الشبكة ، قاموا باستغلال ثغرة PetitPotam للسيطرة على وحدة تحكم المجال ، وبالتالي مجال Windows. بعد ذلك ، انتشر المهاجمون عبر برامج ابتزاز الشبكة ، كما قال خبراء من شركة أمن المعلومات Symantec.
لا يُعرف سوى القليل عن مجموعة برامج الفدية الإلكترونية LockFile في هذا الوقت. تم تسجيل برنامج الفدية لأول مرة في يوليو 2021. على الأنظمة التي هاجمها ، ترك مذكرة فدية في ملف LOCKFILE-README.hta. ومع ذلك ، منذ الأسبوع الماضي ، كانت هناك تقارير عن برنامج فدية يسمى LockFile. في عملية تشفير الملفات ، تضيف برامج الفدية الامتداد .lockfile إلى اسم الملف.
0 تعليقات