Серверы Microsoft SharePoint пополнили длинный список устройств, которые вымогатели используют как средство проникновения в корпоративные сети. Также в этот список входят шлюзы Citrix, балансировщики F5 BIG-IP, почтовые серверы Microsoft Exchange, а также продукты VPN Pulse Secure, Fortinet и Palo Alto Network.

Как правило, атаки строятся на использовании эксплоита для уже исправленной уязвимости CVE-2019-0604 , представляющей угрозу для серверов совместной работы Microsoft SharePoint. Баг позволяет получить контроль над сервером SharePoint и установить веб-шелл, который затем используется для установки маяка Cobalt Strike (бэкдора) и запуска автоматизированных скриптов PowerShell, которые в конечном итоге загружают и устанавливают в зараженную систему конечный пейлоад — вымогатель Hello.

Первые атаки злоумышленников, в которых они использовали SharePoint в качестве вектора проникновения, были обнаружены в январе 2021 года компанией Pondurance, а теперь TrendMicro сообщает, что эти атаки продолжают до сих пор.

Источник: xakep.ru