Исследователи из Rapid7 недавно обнаружили несанкционированную активность в учетной записи службы Microsoft Exchange с привилегиями администратора домена.
Описание
Злоумышленник получил доступ к серверу SharePoint, используя CVE-2024-38094 для получения первоначального доступа, что позволило ему совершить боковое перемещение по сети и скомпрометировать домен в течение двух недель. Злоумышленник установил несанкционированное антивирусное программное обеспечение Huorong AntiVirus, которое отключило существующие средства безопасности, чтобы избежать обнаружения. Кроме того, злоумышленник установил и запустил Impacket, Fast Reverse Proxy (FRP) и несколько вредоносных двоичных файлов для латерального перемещения, сбора учетных данных и сканирования системы. Для дальнейшего обхода обнаружения злоумышленники использовали Mimikatz, который подделывал журналы и отключал системную регистрацию на взломанном сервере SharePoint.
Анализ журналов позволил отследить первоначальный несанкционированный доступ к серверу SharePoint и обнаружить дальнейшие попытки отключить резервное копирование сторонних систем. Злоумышленник загрузил веб-оболочку на систему SharePoint, обеспечив постоянный доступ, и воспользовался уязвимостью для получения повышенных привилегий в среде Active Directory.
Indicators of Compromise
IPv4
- 18.195.61.200
- 54.255.89.118
SHA256
- 1beec8cecd28fdf9f7e0fc5fb9226b360934086ded84f69e3d542d1362e3fdf3
- 61c0810a23580cf492a6ba4f7654566108331e7a4134c968c2d6a05261b2d8a1
- 6ce228240458563d73c1c3cbbd04ef15cb7c5badacc78ce331848f5431b406cc
- 95cc0b082fcfc366a7de8030a6325c099d8012533a3234edbdf555df082413c7
- acb5de5a69c06b7501f86c0522d10fefa9c34776c7535e937e946c6abfc9bbc6
- d18aa84b7bf0efde9c6b5db2a38ab1ec9484c59c5284c0bd080f5197bf9388b0
- d3a6ed07bd3b52c62411132d060560f9c0c88ce183851f16b632a99b4d4e7581
- e451287843b3927c6046eaabd3e22b929bc1f445eec23a73b1398b115d02e4fb
- f618b09c0908119399d14f80fc868b002b987006f7c76adbcec1ac11b9208940
