勒索軟體 Hello/Wickr 瞄準微軟 SharePoint 伺服器入侵

在眾多知名系統之後,微軟SharePoint伺服器也成為勒索軟體駭客駭入企業網路的破口。

在眾多知名系統之後,微軟 SharePoint 伺服器也成為勒索軟體駭客駭入企業網路的破口。

安全廠商發現一隻勒索軟體開採 SharePoint 漏洞,因為它使用 Wickr 加密即時通訊帳號作為受害者對外連線並和歹徒談判贖金的管道,而被命名為 Hello 或 WickrMe。

Hello/WickrMe 開採的是 SharePoint 協同伺服器已知漏洞 CVE-2019-0604。這項漏洞讓攻擊者得以接管 SharePoint 伺服器或植入 web shell,再用以安裝 Cobalt Strike beacon(後門程式)以執行自動化的 PowerShell script,最後下載及安裝最終惡意酬載—Hello 勒索軟體。

第一宗 Hello/WickrMe 的攻擊是由 Pondurance 一月偵測到攻擊者利用 SharePoint 作為攻擊管道,進入一家企業網路,不過本周趨勢科技表示攻擊還在持續中。

雖然 Hello/WickrMe 是第一隻針對 SharePoint 而來的勒索軟體攻擊,但並不令人意外。

去年在勒索軟體開始利用網路裝置入侵企業時,微軟於四月發佈安全公告,呼籲管理員修補包含 CVE-2019-0604 在內的一組漏洞,微軟當時相信很快就會遭勒索軟體組織鎖定。

從 2019 年五月針對 CVE-2019-0604 的開採程式被公布於網路上後,就陸續有網路犯罪操作者及國家支持的間諜組織先後攻擊 SharePoint 系統。

雖然微軟的預言成真花了好幾個月,但 SharePoint 伺服器管理員卻沒有理由讓自家系統曝險。

威脅情報業者 Bad Packet 研究長 Troy Mursch 指出,目前尚未看到 SharePoint 網路掃瞄活動有顯著增加的跡象,除了 4 月 4 日以外。

不過即使駭客目前尚未掃瞄及開採 SharePoint 系統漏洞,但 Hello/WickrMe 的操作組織可能利用幾個月前在 SharePoint 伺服器植入 web shell 作亂。

目前不清楚 Hello/WickrMe 勒索軟體是直接駭入 SharePoint 伺服器,還是向「initial access broker」(首次存取掮客)租用存取 SharePoint 系統的攻擊服務,後者是今天勒索軟體的常見做案手法。

SharePoint 也是繼 Citrix 閘道、F5 BIG-IP 負載平衡系統、Microsoft Exchange 電子郵件系統、Pulse Secure VPN、Fortinet、Palo Alto Network VPNs 後,最新一個成為勒索軟體下手目標的企業軟體。

來源:The Record

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416