勒索軟體Hello/Wickr瞄準微軟SharePoint伺服器入侵

在眾多知名系統之後,微軟SharePoint伺服器也成為勒索軟體駭客駭入企業網路的破口。

在眾多知名系統之後,微軟SharePoint伺服器也成為勒索軟體駭客駭入企業網路的破口。

安全廠商發現一隻勒索軟體開採SharePoint漏洞,因為它使用Wickr加密即時通訊帳號作為受害者對外連線並和歹徒談判贖金的管道,而被命名為Hello或WickrMe。

Hello/WickrMe開採的是SharePoint協同伺服器已知漏洞CVE-2019-0604。這項漏洞讓攻擊者得以接管SharePoint伺服器或植入web shell,再用以安裝Cobalt Strike beacon(後門程式)以執行自動化的PowerShell script,最後下載及安裝最終惡意酬載—Hello勒索軟體。

第一宗Hello/WickrMe的攻擊是由Pondurance一月偵測到攻擊者利用SharePoint作為攻擊管道,進入一家企業網路,不過本周趨勢科技表示攻擊還在持續中。

雖然Hello/WickrMe是第一隻針對SharePoint而來的勒索軟體攻擊,但並不令人意外。

去年在勒索軟體開始利用網路裝置入侵企業時,微軟於四月發佈安全公告,呼籲管理員修補包含CVE-2019-0604在內的一組漏洞,微軟當時相信很快就會遭勒索軟體組織鎖定。

從2019年五月針對CVE-2019-0604的開採程式被公布於網路上後,就陸續有網路犯罪操作者及國家支持的間諜組織先後攻擊SharePoint系統。

雖然微軟的預言成真花了好幾個月,但SharePoint伺服器管理員卻沒有理由讓自家系統曝險。

威脅情報業者Bad Packet研究長Troy Mursch指出,目前尚未看到SharePoint網路掃瞄活動有顯著增加的跡象,除了4月4日以外。

不過即使駭客目前尚未掃瞄及開採SharePoint系統漏洞,但Hello/WickrMe的操作組織可能利用幾個月前在SharePoint伺服器植入web shell作亂。

目前不清楚Hello/WickrMe勒索軟體是直接駭入SharePoint伺服器,還是向「initial access broker」(首次存取掮客)租用存取SharePoint系統的攻擊服務,後者是今天勒索軟體的常見做案手法。

SharePoint也是繼Citrix 閘道、F5 BIG-IP負載平衡系統、Microsoft Exchange 電子郵件系統、Pulse Secure VPN、Fortinet、Palo Alto Network VPNs後,最新一個成為勒索軟體下手目標的企業軟體。

來源:The Record

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416