勒索軟體Hello/Wickr瞄準微軟SharePoint伺服器入侵

在眾多知名系統之後，微軟SharePoint伺服器也成為勒索軟體駭客駭入企業網路的破口。

安全廠商發現一隻勒索軟體開採SharePoint漏洞，因為它使用Wickr加密即時通訊帳號作為受害者對外連線並和歹徒談判贖金的管道，而被命名為Hello或WickrMe。

Hello/WickrMe開採的是SharePoint協同伺服器已知漏洞CVE-2019-0604。這項漏洞讓攻擊者得以接管SharePoint伺服器或植入web shell，再用以安裝Cobalt Strike beacon（後門程式）以執行自動化的PowerShell script，最後下載及安裝最終惡意酬載—Hello勒索軟體。

第一宗Hello/WickrMe的攻擊是由Pondurance一月偵測到攻擊者利用SharePoint作為攻擊管道，進入一家企業網路，不過本周趨勢科技表示攻擊還在持續中。

雖然Hello/WickrMe是第一隻針對SharePoint而來的勒索軟體攻擊，但並不令人意外。

去年在勒索軟體開始利用網路裝置入侵企業時，微軟於四月發佈安全公告，呼籲管理員修補包含CVE-2019-0604在內的一組漏洞，微軟當時相信很快就會遭勒索軟體組織鎖定。

從2019年五月針對CVE-2019-0604的開採程式被公布於網路上後，就陸續有網路犯罪操作者及國家支持的間諜組織先後攻擊SharePoint系統。

雖然微軟的預言成真花了好幾個月，但SharePoint伺服器管理員卻沒有理由讓自家系統曝險。

威脅情報業者Bad Packet研究長Troy Mursch指出，目前尚未看到SharePoint網路掃瞄活動有顯著增加的跡象，除了4月4日以外。

不過即使駭客目前尚未掃瞄及開採SharePoint系統漏洞，但Hello/WickrMe的操作組織可能利用幾個月前在SharePoint伺服器植入web shell作亂。

目前不清楚Hello/WickrMe勒索軟體是直接駭入SharePoint伺服器，還是向「initial access broker」（首次存取掮客）租用存取SharePoint系統的攻擊服務，後者是今天勒索軟體的常見做案手法。

SharePoint也是繼Citrix 閘道、F5 BIG-IP負載平衡系統、Microsoft Exchange 電子郵件系統、Pulse Secure VPN、Fortinet、Palo Alto Network VPNs後，最新一個成為勒索軟體下手目標的企業軟體。

來源：The Record