Awal pekan ini, Microsoft mengatakan bahwa 92% dari server Exchange yang rentan telah ditambal atau telah diterapkan mitigasi. Namun, firma keamanan siber F-Secure mengatakan “puluhan ribu” server Exchange telah dibobol. Dalam posting blog baru, Microsoft menegaskan kembali peringatannya bahwa “menambal sistem tidak serta merta menghapus akses penyerang”.
“Banyak dari sistem yang disusupi belum menerima tindakan sekunder, seperti serangan ransomware yang dioperasikan oleh manusia atau eksfiltrasi data, yang menunjukkan bahwa penyerang dapat menetapkan dan mempertahankan akses mereka untuk kemungkinan tindakan selanjutnya,” catat Microsoft 365 Defender Threat Intelligence Team.
Jika sistem telah disusupi, Microsoft mendesak admin untuk mempraktikkan prinsip hak istimewa paling rendah dan mengurangi pergerakan lateral pada jaringan.
Hak istimewa terkecil akan membantu mengatasi praktik umum di mana layanan Exchange atau tugas terjadwal telah dikonfigurasi dengan akun dengan hak istimewa tinggi untuk melakukan tugas-tugas seperti pencadangan.
Menggunakan ransomware DoejoCrypt, alias DearCry, sebagai contoh, Microsoft mencatat bahwa web shell yang digunakan oleh strain tersebut menulis file batch ke C: \ Windows \ Temp \ xx.bat. Ini ditemukan di semua sistem yang terkena DoejoCrypt dan mungkin menawarkan penyerang rute untuk mendapatkan kembali akses di mana infeksi telah terdeteksi dan dihapus.
“File batch ini melakukan backup database Security Account Manager (SAM) dan kumpulan registri Sistem dan Keamanan, yang memungkinkan penyerang nanti mengakses sandi pengguna lokal di sistem dan, yang lebih penting, di LSA [Otoritas Keamanan Lokal] Bagian rahasia dari registri, di mana kata sandi untuk layanan dan tugas terjadwal disimpan, “catatan Microsoft.
Meskipun korban belum mendapatkan tebusan, penggunaan file xx.bat oleh penyerang memungkinkan mereka menjelajahi jaringan melalui kerangka web yang meletakkan file tersebut pada awalnya. Shell web juga mengunduh kit pengujian penetrasi Cobalt Strike sebelum mengunduh muatan ransomware dan mengenkripsi file. Dengan kata lain, korban mungkin belum ditebus hari ini, tetapi penyerang telah meninggalkan alat di jaringan untuk melakukannya besok.
Ancaman kejahatan dunia maya lainnya ke server Exchange berasal dari penambang mata uang kripto yang berbahaya. Botnet cryptocurrency Lemon Duck diamati mengeksploitasi server Exchange yang rentan. Menariknya, operator Lemon Duck membersihkan server Exchange dengan file xx.bat dan web shell, memberinya akses eksklusif ke server Exchange. Microsoft juga menemukan bahwa itu digunakan untuk menginstal malware lain, bukan hanya menambang cryptocurrency.
Source : ZDnet
Leave a Reply