WickrMe勒索软件
新的勒索软件操作已开始针对Microsoft SharePoint Server,这标志着该特定入口点首次被用于渗透私有公司网络和部署勒索软件。类似活动的先前目标是Microsoft Exchange电子邮件服务器,Citrix网关,F5 BIG-IP负载平衡器以及Pulse Secure,Fortinet和Palo Alto Network发布的VPN产品。
由于使用Wickr加密的IM帐户作为受害者可以用来与网络罪犯联系的通信渠道的一部分,安全厂商正在将攻击活动作为WickrMe Ransomware(Hello)进行跟踪。 WickMe Ransomware利用的初始折衷向量是一个已知漏洞(CVE-2019-0604),它会影响Microsoft的SharePoint团队协作服务器。利用此漏洞,威胁参与者可以建立对SharePoint服务器的控制并提供损坏的Web Shell。下一步涉及通过安装Cobalt Strike信标来创建后门。然后,黑客可以运行自动化的PowerShell脚本,这些脚本最终将在受感染的系统上删除并执行最终的有效负载-Hello Ransomware威胁。
公司被警告使用漏洞
去年,微软发布了一篇博客文章,解决了观察到的攻击活动的大量增加,这些攻击活动针对网络设备中的漏洞作为传递勒索软件威胁的网关。本文提到的特定漏洞中还包括CVE-2019-0604。微软敦促公司修补勒索软件组织可能很快成为攻击目标的漏洞利用程序。
以前,网络犯罪分子,国家支持的间谍团体和APT(高级持久威胁)发起的广告系列中都利用了同一SharePoint服务器漏洞。
