Хаки Microsoft Exchange: как они появились и где мы сейчас находимся
Экстренные исправления для недавно обнаруженных критических уязвимостей в почтовом сервере Microsoft Exchange появились не сразу, и у организаций было мало времени на подготовку до начала массовой эксплуатации.
Ошибка, получившая название ProxyLogon, использовалась в дикой природе еще до того, как Microsoft получила отчет об уязвимости, что дало злоумышленникам двухмесячный старт для взлома целей до появления обновлений безопасности.
Уязвимые серверы являются привлекательной целью для широкого спектра групп. Злоумышленники из национальных государств, кибергруппы Ransomware и майнинг криптовалют уже использовали ProxyLogon.
С выпущенными исправлениями и появлением кода эксплойта PoC в сети, тысячи серверов Microsoft Exchange по всему миру продолжают оставаться уязвимыми, а количество атак по-прежнему вызывает тревогу.
Обнаружена угроза ProxyLogon
DEVCORE назвал ошибку ProxyLogon, и в конце декабря Tsai нашел вторую (CVE-2021-27065), которую можно было использовать для удаленного выполнения кода.
5 января 2021 года исследователь отправил в Microsoft отчет вместе с эксплойтом, связывающим две уязвимости, чтобы доказать обоснованность своих выводов.
APT-группы имели преимущество в два месяца
В том же месяце компания Volexity по анализу угроз и реагированию на инциденты обнаружила атаки ProxyLogon, направленные на взлом сетей или кражу данных электронной почты.
В январе несколько компаний, занимающихся кибербезопасностью, обнаружили атаки на локальные серверы Exchange в клиентских средах с использованием уязвимостей нулевого дня.
В том же месяце была взломана сеть, по крайней мере, одного клиента FireEye, и злоумышленник создал веб-оболочки для постоянного доступа и удаленного выполнения кода, а деятельность «предполагала использование CVE-2021-26858», - заявили в компании.
Установка веб-оболочек (файлов ASPX) - это тоже то, что видел Volexity, с последующим сбросом учетных данных, добавлением учетных записей пользователей, кражей копий базы данных Active Directory (NTDS.DIT) и боковым перемещением по сети.
Также в январе датская компания по реагированию на инциденты Dubex исследовала активность на серверах Exchange, которые использовали эксплойт нулевого дня (CVE-2021-26857) для записи веб-шеллов на диск, указав набор из трех файлов ASPX среди индикаторов взлома (IoC). .
2 марта Microsoft выпустила обновления для Exchange Server и сообщила о «множестве эксплойтов нулевого дня, используемых для атак на локальные версии Microsoft Exchange Server в ограниченных и целевых атаках».
CVE-2021-26855, SSRF до аутентификации
CVE-2021-26857, небезопасная десериализация, приводящая к эскалации привилегий до уровня SYSTEM
CVE-2021-26858, запись файла после аутентификации
CVE-2021-27065, запись файла после аутентификации
ESET сообщила, что кроме Hafnium, другие участники - Tick, LuckyMouse, Calypso, Winnti, Websiic - многие из которых связаны с Китаем, активно использовали их как минимум с 28 февраля, и рекомендовали организациям искать подозрительные файлы ASPX.
Злоумышленник использовал эксплойт DEVCORE
Один из эксплойтов, использовавшихся до появления исправлений, - это та же цепочка, которую DEVCORE отправил в Microsoft 5 января в рамках ответственного раскрытия информации.
DEVCORE подтверждает это в обновлении на веб-сайте ProxyLogon, отмечая, что он начал расследование после того, как Volexity сообщил об активной эксплуатации ошибки SSRF.
Согласно отчету Wall Street Journal, Microsoft в настоящее время расследует, не произошла ли утечка информации одним из ее партнеров, имевших доступ к информации, преднамеренно или случайно.
Широкий спектр злоумышленников
После выхода официальных исправлений уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более активно подвергаться атакам.
ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все.
Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware.
В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.
PoC и инструменты атаки
На выходных появился новый PoC ProxyLogon, увеличивающий шансы даже неопытных злоумышленников атаковать уязвимые серверы Exchange, которых, вероятно, исчисляются тысячами.
Кроме того, существует множество информации для воспроизведения эксплойта ProxyLogon путем реверс-инжиниринга официальных исправлений от Microsoft. Фирма по кибербезопасности Praetorian опубликовала блог с полной технической информацией о создании работающего сквозного эксплойта.
Даже если серверы не обращены к общедоступному Интернету, компании должны обновить их, чтобы защитить себя от субъектов, которые могут находиться в локальной сети.
Вице-президент Mandiant по анализу, Джон Халтквист, ожидает, что в ближайшее время кибергруппы будут еще больше использовать уязвимости ProxyLogon, которые могут найти вектор атаки «особенно привлекательным», поскольку он является «эффективным средством получения доступа администратора домена».
«Этот доступ позволяет им развертывать шифрование на предприятии.», - Джон Халтквист.
Инструменты и информация
CISA опубликовала семь отчетов об анализе вредоносного ПО, в которых указаны меры по устранению уязвимостей Microsoft Exchange Server. Каждый из них предоставляет подробную информацию о веб-оболочке, используемой в атаках, чтобы дать злоумышленнику удаленное администрирование системы.
Администраторы также могут использовать сценарий PowerShell, чтобы проверить, не были ли серверы Exchange взломаны с помощью уязвимостей ProxyLogon. Он автоматизирует набор команд, которые также можно запускать вручную для тестирования одного или всех локальных серверов.
https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/
Этот файл предназначен для использования с nmap. Он определяет, уязвим ли указанный URL-адрес для уязвимости SSRF сервера Exchange (CVE-2021-26855). Для получения информации об использовании, пожалуйста, прочтите верхнюю часть файла.
Ошибка, получившая название ProxyLogon, использовалась в дикой природе еще до того, как Microsoft получила отчет об уязвимости, что дало злоумышленникам двухмесячный старт для взлома целей до появления обновлений безопасности.
Уязвимые серверы являются привлекательной целью для широкого спектра групп. Злоумышленники из национальных государств, кибергруппы Ransomware и майнинг криптовалют уже использовали ProxyLogon.
С выпущенными исправлениями и появлением кода эксплойта PoC в сети, тысячи серверов Microsoft Exchange по всему миру продолжают оставаться уязвимыми, а количество атак по-прежнему вызывает тревогу.
Обнаружена угроза ProxyLogon
10 декабря 2020 года исследователь DEVCORE Orange Tsai обнаружил CVE-2021-26855, критическую ошибку подделки запросов на стороне сервера (SSRF), которая позволяет обходить аутентификацию в Microsoft Exchange.
DEVCORE назвал ошибку ProxyLogon, и в конце декабря Tsai нашел вторую (CVE-2021-27065), которую можно было использовать для удаленного выполнения кода.
5 января 2021 года исследователь отправил в Microsoft отчет вместе с эксплойтом, связывающим две уязвимости, чтобы доказать обоснованность своих выводов.
APT-группы имели преимущество в два месяца
В том же месяце компания Volexity по анализу угроз и реагированию на инциденты обнаружила атаки ProxyLogon, направленные на взлом сетей или кражу данных электронной почты.
Более тщательное изучение показало, что «операции кибершпионажа с использованием SSRF-уязвимости CVE-2021-26855 начались 3 января 2021 года», за два дня до того, как DEVCORE отправила отчет в Microsoft.
В январе несколько компаний, занимающихся кибербезопасностью, обнаружили атаки на локальные серверы Exchange в клиентских средах с использованием уязвимостей нулевого дня.
В том же месяце была взломана сеть, по крайней мере, одного клиента FireEye, и злоумышленник создал веб-оболочки для постоянного доступа и удаленного выполнения кода, а деятельность «предполагала использование CVE-2021-26858», - заявили в компании.
Установка веб-оболочек (файлов ASPX) - это тоже то, что видел Volexity, с последующим сбросом учетных данных, добавлением учетных записей пользователей, кражей копий базы данных Active Directory (NTDS.DIT) и боковым перемещением по сети.
Также в январе датская компания по реагированию на инциденты Dubex исследовала активность на серверах Exchange, которые использовали эксплойт нулевого дня (CVE-2021-26857) для записи веб-шеллов на диск, указав набор из трех файлов ASPX среди индикаторов взлома (IoC). .
2 марта Microsoft выпустила обновления для Exchange Server и сообщила о «множестве эксплойтов нулевого дня, используемых для атак на локальные версии Microsoft Exchange Server в ограниченных и целевых атаках».
CVE-2021-26855, SSRF до аутентификации
CVE-2021-26857, небезопасная десериализация, приводящая к эскалации привилегий до уровня SYSTEM
CVE-2021-26858, запись файла после аутентификации
CVE-2021-27065, запись файла после аутентификации
ESET сообщила, что кроме Hafnium, другие участники - Tick, LuckyMouse, Calypso, Winnti, Websiic - многие из которых связаны с Китаем, активно использовали их как минимум с 28 февраля, и рекомендовали организациям искать подозрительные файлы ASPX.
«Это говорит о том, что несколько злоумышленников получили доступ к деталям уязвимостей до выпуска исправления, что означает, что мы можем исключить возможность того, что они создали эксплойт путем обратного проектирования обновлений Microsoft» - ESET
Злоумышленник использовал эксплойт DEVCORE
Один из эксплойтов, использовавшихся до появления исправлений, - это та же цепочка, которую DEVCORE отправил в Microsoft 5 января в рамках ответственного раскрытия информации.
DEVCORE подтверждает это в обновлении на веб-сайте ProxyLogon, отмечая, что он начал расследование после того, как Volexity сообщил об активной эксплуатации ошибки SSRF.
Согласно отчету Wall Street Journal, Microsoft в настоящее время расследует, не произошла ли утечка информации одним из ее партнеров, имевших доступ к информации, преднамеренно или случайно.
Широкий спектр злоумышленников
После выхода официальных исправлений уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более активно подвергаться атакам.
ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все.
Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware.
В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.
PoC и инструменты атаки
С 10 марта в сети начал появляться PoC-эксплойт для массово эксплуатируемых уязвимостей Exchange. Первым вариантом был эксплойт удаленного выполнения кода с ошибками, который Microsoft быстро извлек из GitHub, чтобы предотвратить злоупотребления в еще более крупных масштабах.
На выходных появился новый PoC ProxyLogon, увеличивающий шансы даже неопытных злоумышленников атаковать уязвимые серверы Exchange, которых, вероятно, исчисляются тысячами.
Кроме того, существует множество информации для воспроизведения эксплойта ProxyLogon путем реверс-инжиниринга официальных исправлений от Microsoft. Фирма по кибербезопасности Praetorian опубликовала блог с полной технической информацией о создании работающего сквозного эксплойта.
SophosLabs создал инструмент под названием metasploit_gather_exchange, который может извлекать все содержимое почтового ящика в виде файла PST. Он не помогает взламывать серверы Exchange, но предназначен в качестве инструмента после эксплуатации для участия в тестах на проникновение.
Даже если серверы не обращены к общедоступному Интернету, компании должны обновить их, чтобы защитить себя от субъектов, которые могут находиться в локальной сети.
Вице-президент Mandiant по анализу, Джон Халтквист, ожидает, что в ближайшее время кибергруппы будут еще больше использовать уязвимости ProxyLogon, которые могут найти вектор атаки «особенно привлекательным», поскольку он является «эффективным средством получения доступа администратора домена».
«Этот доступ позволяет им развертывать шифрование на предприятии.», - Джон Халтквист.
Инструменты и информация
CISA опубликовала семь отчетов об анализе вредоносного ПО, в которых указаны меры по устранению уязвимостей Microsoft Exchange Server. Каждый из них предоставляет подробную информацию о веб-оболочке, используемой в атаках, чтобы дать злоумышленнику удаленное администрирование системы.
Администраторы также могут использовать сценарий PowerShell, чтобы проверить, не были ли серверы Exchange взломаны с помощью уязвимостей ProxyLogon. Он автоматизирует набор команд, которые также можно запускать вручную для тестирования одного или всех локальных серверов.
Рекомендуемый по умолчанию способ использования EOMT.ps1.
Это определит, является ли ваш сервер уязвимым, снизит вероятность уязвимости и запустит MSERT в режиме быстрого сканирования. Если сервер не уязвим, будет запущена только быстрая проверка MSERT.
.\EOMT.ps1
https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/
Этот файл предназначен для использования с nmap. Он определяет, уязвим ли указанный URL-адрес для уязвимости SSRF сервера Exchange (CVE-2021-26855). Для получения информации об использовании, пожалуйста, прочтите верхнюю часть файла.
---
-- @usage
-- nmap -p <port> --script http-vuln-cve2021-26855 <target>
--
-- @output
-- PORT STATE SERVICE
-- 443/tcp open https
-- | http-vuln-cve2021-26855:
-- | VULNERABLE
-- | Exchange Server SSRF Vulnerability
-- | State: VULNERABLE
-- | IDs: CVE:CVE-2021-26855
-- |
-- | Disclosure date: 2021-03-02
-- | References:
-- | http://aka.ms/exchangevulns
--
-- @args http-vuln-cve2021-26855.method The HTTP method for the request. The default method is "GET".
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
Недавно исправленные уязвимости в Microsoft Exchange вызвали новый интерес у киберпреступников, которые увеличили количество атак, сосредоточенных на этом конкретном векторе.
В то время как количество атак программ-вымогателей увеличилось за последние шесть месяцев,
Даже несмотря на то, что исправления продвигались быстрыми темпами, компания отметила, что количество попыток атак по всему миру утроилось, насчитывая десятки тысяч.
Microsoft Exchange по-прежнему привлекателен
По данным Microsoft, 14 марта было около 82 000 уязвимых серверов Exchange. Примерно через неделю это число значительно упало до примерно 30 000 уязвимых машин, согласно данным RiskIQ.
Данные телеметрии Check Point на прошлой неделе показали более 50 000 попыток атак по всему миру, большинство из которых были нацелены на организации в правительственном / военном, производственном и банковском / финансовом секторах.
Почти половина попыток использования эксплойтов произошла в США (49%), что на сегодняшний день является наиболее привлекательным регионом по сравнению с другими странами, где Check Point зарегистрировал гораздо меньше инцидентов (Великобритания - 5%, Нидерланды и Германия - по 4%).
Атаки программ-вымогателей растут, WannaCry все еще остается проблемой
Компания зафиксировала рост атак программ-вымогателей на 57% за последние шесть месяцев на глобальном уровне. Более тревожным является постоянный ежемесячный рост на 9% с начала года.
Помимо наблюдаемых обычных штаммов вымогателей (Maze, Ryuk, REvil), компания отмечает рост на 53% числа организаций, пострадавших от вируса-вымогателя WannaCry.
«Фактически, CPR обнаружил, что в марте 2021 года пострадавших организаций в 40 раз больше по сравнению с октябрем 2020 года. Новые образцы по-прежнему используют эксплойт EternalBlue для распространения - исправления для которого доступны уже более 4 лет» - Check Point
Причина такого большого числа в том, что WannaCry подвержен заражению червями, а тысячи систем по-прежнему уязвимы для EternalBlue и доступны через общедоступный Интернет.
Check Point наблюдала ту же тенденцию, начиная с декабря 2020 года, и в марте 2021 года количество атак продолжало увеличиваться более чем на 12000.
https://www.bleepingcomputer.com/news/security/microsoft-exchange-attacks-increase-while-wannacry-gets-a-restart/
Злоумышленники теперь активно сканируют уязвимости удаленного выполнения кода Microsoft Exchange ProxyShell после того, как технические подробности были опубликованы на конференции Black Hat.
Прежде чем мы перейдем к активному сканированию этих уязвимостей, важно понять, как они были обнаружены.
ProxyShell - это название трех уязвимостей, которые при объединении в цепочку выполняют удаленное выполнение кода без проверки подлинности на серверах Microsoft Exchange.
Эти связанные уязвимости используются удаленно через службу клиентского доступа (CAS) Microsoft Exchange, работающую на порту 443 в IIS.
В атаках ProxyShell используются три связанных уязвимости:
Как ни странно, хотя и CVE-2021-34473, и CVE-2021-34523 были впервые раскрыты в июле, на самом деле они были незаметно исправлены в апрельском накопительном обновлении Microsoft Exchange KB5001779.
Уязвимости были обнаружены главным исследователем безопасности Devcore Orange Tsai, чья команда получила приз в размере 200000 долларов за их использование в апрельском хакерском конкурсе Pwn2Own 2021.
В четверг Orange Tsai выступил в Black Hat с докладом о недавних уязвимостях Microsoft Exchange, которые он обнаружил при атаке на поверхность атаки Microsoft Exchange Client Access Service (CAS).
В рамках выступления Orange Tsai объяснил, что один из компонентов цепочки атак ProxyShell нацелен на службу автообнаружения Microsoft Exchange.
Microsoft представила службу автообнаружения, чтобы предоставить почтовому клиенту простой способ автоматической настройки с минимальным вмешательством со стороны пользователя.
После просмотра выступления Orange Tsai исследователи безопасности PeterJson и Jang опубликовали статью с технической информацией о том, как они могут успешно воспроизвести эксплойт ProxyShell.
Злоумышленники сканируют уязвимые серверы Exchange
На этой неделе исследователь безопасности Кевин Бомонт написал в Твиттере, что злоумышленник проверяет его ловушку Microsoft Exchange на серверную службу автообнаружения.
Хотя эти первоначальные попытки оказались безуспешными, вчера вечером, после того, как была опубликована более подробная информация об уязвимости, злоумышленники изменили свои сканы, чтобы использовать новый URL-адрес автообнаружения,
По новому URL-адресу злоумышленники успешно обнаружили уязвимую систему, которая запускает компиляцию веб-приложения ASP.NET.
Jang сказал, что доступ к URL-адресу заставит рабочий процесс ASP.NET (w3wp.exe) скомпилировать веб-приложение
Теперь, когда злоумышленники активно ищут уязвимые серверы Microsoft Exchange, Бомонт советует администраторам использовать Azure Sentinel для проверки журналов IIS на наличие строк «/autodiscover/autodiscover.json» или «/ mapi / nspi /».
Если в результатах указан целевой URL-адрес автообнаружения, злоумышленники просканировали ваш сервер на предмет уязвимости.
Злоумышленники активно пытаются использовать эту уязвимость, но пока безуспешно. Однако успешная эксплуатация в дикой природе - это лишь вопрос времени.
Настоятельно рекомендуется, чтобы администраторы Microsoft Exchange установили последние накопительные обновления, чтобы они были защищены от этих уязвимостей.
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/
С апреля 2021 года Cisco Talos наблюдала за обновленной инфраструктурой и новыми компонентами, связанными с ботнетом для майнинга криптовалюты Lemon Duck, который нацелен на непропатченные серверы Microsoft Exchange и пытается загружать и выполнять полезные данные для маяков Cobalt Strike DNS. Это действие отражает обновленные тактики, методы и процедуры (ДТС), связанные с этим субъектом угрозы. После того, как 2 марта было обнародовано несколько уязвимостей Microsoft Exchange Server нулевого дня, Cisco Talos и несколько других исследователей безопасности начали наблюдать за различными субъектами угроз, включая Lemon Duck, используя эти уязвимости для первоначального использования до того, как были выпущены исправления безопасности. 25 марта Microsoft выпустила отчет, в котором подчеркивается, что Lemon Duck нацелился на серверы Exchange для установки вредоносного ПО для майнинга криптовалюты и загрузчика вредоносных программ, который использовался для доставки вторичных вредоносных программ, таких как кражи информации. Мы также обнаружили, что субъекты Lemon Duck генерируют поддельные домены на восточноазиатских доменах верхнего уровня (TLD) для маскировки соединений со своим законным доменом C2, по крайней мере, с февраля 2020 года, подчеркнув еще одну попытку повысить эффективность своих операций. Ниже мы расскажем об изменениях TTP, используемых Lemon Duck в недавних кампаниях, поскольку они относятся к различным этапам этих атак.
https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html
https://chklst.ru/discussion/1896/lemon-duck-raspravlyaet-krylya-uchastniki-atakuyut-servery-microsoft-exchange-vnedryayut-novye-ttp#latest
https://chklst.ru/discussion/1877/botnet-bekdory-na-serverah-microsoft-exchange-dobyvayut-kriptovalyutu#latest
Злоумышленники активно используют серверы Microsoft Exchange, используя уязвимость ProxyShell, чтобы установить бэкдоры для последующего доступа.
ProxyShell - это название атаки, в которой используются три связанных уязвимости Microsoft Exchange для выполнения удаленного выполнения кода без проверки подлинности.
Три уязвимости, перечисленные ниже, были обнаружены главным исследователем безопасности Devcore Оранж Цай, который связал их вместе, чтобы захватить сервер Microsoft Exchange в апрельском хакерском конкурсе Pwn2Own 2021.
ProxyShell активно используется для установки веб-шеллов
Сегодня Бомонт и исследователь уязвимостей NCC Group Уоррен раскрыли, что злоумышленники использовали Microsoft Exchange для установки веб-шеллов с помощью уязвимости ProxyShell.
При эксплуатации Microsoft Exchange злоумышленники используют начальный URL-адрес, например:
В настоящее время эксплойт сбрасывает веб-оболочку размером 265 КБ в папку c: \ inetpub \ wwwroot \ aspnet_client \.
265 КБ - это минимальный размер файлов, который может быть создан с помощью эксплойта ProxyShell.
веб-оболочки состоят из простого защищенного аутентификацией сценария, который злоумышленники могут использовать для загрузки файлов на скомпрометированный сервер Microsoft Exchange.
Уоррен сказал, что злоумышленники используют первую веб-оболочку для загрузки дополнительной веб-оболочки в папку с удаленным доступом и два исполняемых файла в папки C: \ Windows \ System32, перечисленные ниже:
C: \ Windows \ System32 \ createhidetask.exe
C: \ Windows \ System32 \ ApplicationUpdate.exe
Если два исполняемых файла не могут быть найдены, в следующей папке будет создана другая веб-оболочка в виде файлов ASPX со случайным именем.
C: \ Program Files \ Microsoft \ Exchange Server \ V15 \ FrontEnd \ HttpProxy \ owa \ auth \
Злоумышленники используют вторую веб-оболочку для запуска createhidetask.exe, который создает запланированную задачу с именем PowerManager, которая запускает исполняемый файл ApplicationUpdate.exe в 1 час ночи каждый день.
Уоррен объяснил, что исполняемый файл ApplicationUpdate.exe - это загрузчик .NET, используемый в качестве бэкдора.
«ApplicationUpdate.exe - загружает другой двоичный файл .NET с удаленного сервера (который в настоящее время обслуживает полезную нагрузку)», - пояснил Уоррен.
Хотя текущая полезная нагрузка неопасна, ожидается, что она будет заменена вредоносной полезной нагрузкой, как только будет скомпрометировано достаточное количество серверов.
Компания Bad Packets, занимающаяся разведкой кибербезопасности, сообщила BleepingComputer, что в настоящее время они видят, что злоумышленники сканируют уязвимые устройства ProxyShell с IP-адресов в США, Иране и Нидерландах.
https://www.bleepingcomputer.com/news/microsoft/hackers-now-backdoor-microsoft-exchange-using-proxyshell-exploits/
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило первое предупреждение, помеченное как «срочное», предупреждающее администраторов о необходимости исправления локальных серверов Microsoft Exchange от активно используемых уязвимостей ProxyShell.
«Злоумышленники в киберпространстве активно используют следующие уязвимости ProxyShell: CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207», - предупредила CISA в минувшие выходные.
«CISA настоятельно призывает организации выявлять уязвимые системы в своих сетях и немедленно применять обновление безопасности Microsoft от мая 2021 года, которое устраняет все три уязвимости ProxyShell, для защиты от этих атак».
Эти три уязвимости безопасности (исправленные в апреле и мае) были обнаружены исследователем безопасности Devcore Оранж Цай, который использовал их для взлома сервера Microsoft Exchange в апрельском хакерском конкурсе Pwn2Own 2021:
Несмотря на то, что Microsoft полностью исправила ошибки ProxyShell в мае 2021 года, они не назначили идентификаторы CVE для трех уязвимостей безопасности до июля, что не позволило некоторым организациям, у которых были непропатченные серверы, обнаружить, что в их сетях есть уязвимые системы.
После того, как недавно были раскрыты дополнительные технические подробности, как исследователи безопасности, так и злоумышленники смогли воспроизвести работающий эксплойт ProxyShell.
Затем, как это произошло в марте, злоумышленники начали сканирование и взлом серверов Microsoft Exchange с использованием уязвимостей ProxyShell.
После взлома непропатченных серверов Exchange злоумышленники сбрасывают веб-оболочки, которые позволяют им загружать и запускать вредоносные инструменты.
Хотя вначале полезные нагрузки были безвредными, злоумышленники начали развертывать полезные нагрузки вымогателя LockFile
Shodan также отслеживает десять из тысяч серверов Exchange, уязвимых для атак с использованием эксплойтов ProxyShell, большинство из которых расположены в США и Германии.
https://www.bleepingcomputer.com/news/security/cisa-warns-admins-to-urgently-patch-exchange-proxyshell-bugs/
Сегодня Microsoft наконец опубликовала руководство по активно эксплуатируемым уязвимостям ProxyShell, влияющим на несколько локальных версий Microsoft Exchange.
ProxyShell - это набор из трех недостатков безопасности (исправленных в апреле и мае), обнаруженных исследователем безопасности Devcore Оранж Цай, который использовал их для взлома сервера Microsoft Exchange во время хакерского конкурса Pwn2Own 2021:
https://www.bleepingcomputer.com/news/microsoft/microsoft-proxyshell-bugs-might-be-exploited-patch-servers-now/
кибергруппа Conti взламывает серверы Microsoft Exchange и взламывает корпоративные сети, используя недавно обнаруженные эксплойты уязвимости ProxyShell.
ProxyShell - это название эксплойта, использующего три связанных уязвимости Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), которые позволяют удаленное выполнение кода без проверки подлинности на незащищенных уязвимых серверах.
Эти три уязвимости были обнаружены Orange Tsai из Devcore, который использовал их в рамках хакерского конкурса Pwn2Own 2021.
Хотя Microsoft полностью устранила эти уязвимости в мае 2021 года, недавно были опубликованы технические подробности использования уязвимостей, что позволило злоумышленникам начать использовать их в атаках.
До сих пор мы видели, как злоумышленники использовали уязвимости ProxyShell для удаления веб-шеллов, бэкдоров и развертывания вымогателя LockFile.
Conti теперь использует ProxyShell для взлома сетей
На прошлой неделе компания Sophos участвовала в расследовании инцидента, когда операторы Conti зашифровала клиента.
Проанализировав атаку, Sophos обнаружил, что злоумышленники изначально взломали сеть, используя недавно обнаруженные уязвимости Microsoft Exchange ProxyShell.
Как и в большинстве недавних атак Microsoft Exchange, злоумышленники сначала сбрасывают веб-оболочки, используемые для выполнения команд, загрузки программного обеспечения и дальнейшей компрометации сервера.
После того, как злоумышленники получили полный контроль над сервером, Sophos заметил, что они быстро прибегли к своей стандартной тактике, изложенной в недавно просочившемся учебном материале Conti.
Эта процедура включает в себя получение списков администраторов домена и компьютеров, сброс LSASS для получения доступа к учетным данным администратора и распространение по сети на другие серверы.
Когда злоумышленники скомпрометировали различные серверы, они установили несколько инструментов для обеспечения удаленного доступа к устройствам, например маяки AnyDesk и Cobalt Strike.
Зайдя в сеть, злоумышленники украли незашифрованные данные и загрузили их на сервер обмена файлами MEGA. Через пять дней они начали шифрование устройств в сети с сервера без антивирусной защиты, используя наблюдаемую команду:
запустить C: \ x64.exe -m -net -size 10 -nomutex -p \\ [имя Active Directory компьютера] \ C $
Этот конкретный случай выделялся скоростью и точностью, с которой группа провела атаку: от первоначального нарушения до кражи 1 ТБ данных потребовалось всего 48 часов.
«В течение 48 часов после получения этого начального доступа злоумышленники извлекли около 1 терабайта данных. По прошествии пяти дней они развернули программу-вымогатель Conti на каждой машине в сети, специально нацелившись на отдельные сетевые ресурсы на каждом компьютере», - пояснил Sophos. в своем отчете.
«В ходе вторжения филиалы Conti установили в сети не менее семи бэкдордов: две веб-оболочки, Cobalt Strike и четыре коммерческих инструмента удаленного доступа (AnyDesk, Atera, Splashtop и Remote Utilities)».
«Веб-оболочки, установленные на ранней стадии, использовались в основном для начального доступа; Cobalt Strike и Any Desk были основными инструментами, которые они использовали до конца атаки».
Обновите свои серверы Exchange прямо сейчас!
При проведении атак с использованием ProxyShell злоумышленники нацелены на службу автообнаружения, отправляя следующие запросы:
https: //Exchange-server/autodiscover/autodiscover.json? @ foo.com / mapi / nspi /? &Email=autodiscover/autodiscover.json%[email protected]
Чтобы проверить, был ли выбран ваш сервер Exchange Server, вы можете изучить журналы IIS на предмет запросов к «/autodiscover/autodiscover.json» со странными или неизвестными электронными письмами.
В случае с Conti, наблюдаемом Sophos, злоумышленники использовали электронное письмо от @ evil.corp, что должно легко выделить попытки эксплойта.
Без сомнения, уязвимости ProxyShell в настоящее время используются широким кругом злоумышленников, и всем администраторам серверов Microsoft Exchange необходимо применять самые последние накопительные обновления, чтобы оставаться в безопасности.
К сожалению, это приведет к простою почты по мере установки обновлений. Однако это намного лучше, чем простои и расходы, которые понесет успешная атака с выкупом.
https://www.bleepingcomputer.com/news/security/conti-ransomware-now-hacking-exchange-servers-with-proxyshell-exploits/
https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/
В прошлую субботу Агентство по кибербезопасности и безопасности инфраструктуры выпустило срочное предупреждение о том, что злоумышленники активно используют три уязвимости Microsoft Exchange: CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207. Эти уязвимости можно объединить в цепочку для удаленного выполнения произвольного кода на уязвимой машине.
Этот набор уязвимостей Exchange часто группируется под названием ProxyShell. Исправления были доступны в майских обновлениях безопасности 2021 года, выпущенных Microsoft. (Точнее, первые два были исправлены в апреле, а CVE-2021-31207 - в мае.)
Цепочка атаки
Проще говоря, эти три уязвимости могут быть объединены в цепочку, чтобы позволить удаленному злоумышленнику запустить код на непропатченном сервере. Злоумышленники используют их следующим образом:
Используйте CVE-2021-31207, функцию безопасности Microsoft Exchange Server, позволяющую обходить уязвимости. Уязвимость позволяет удаленному пользователю обойти процесс аутентификации.
Возьмите под свой контроль CVE-2021-34523, уязвимость Microsoft Exchange Server, связанная с повышением привилегий (EoP). Уязвимость позволяет пользователю повысить свои разрешения.
Делайте плохие вещи с CVE-2021-34523, уязвимостью удаленного выполнения кода (RCE) Microsoft Exchange Server. Уязвимость позволяет аутентифицированному пользователю выполнять произвольный код в контексте SYSTEM и записывать произвольные файлы.
ProxyShell
The Record сообщает, что ProxyShell был использован для захвата около 2000 почтовых серверов Microsoft Exchange всего за два дня. Это может произойти только в том случае, если организации используют локальную версию Exchange, а системные администраторы не установили апрельские и майские исправления.
Мы знаем, что есть много причин, по которым установка исправлений является сложной и часто медленной. Однако такое большое число вызывает удивление, учитывая, что уровень шума об уязвимостях Microsoft Exchange был высоким с марта. Хотя, возможно, он был заглушен другими тревожными криками о PrintNightmare, HiveNightmare, PetitPotam и многих других.
Программы-вымогатели
Несколько исследователей указали на группу программ-вымогателей под названием LockFile, которая объединяет ProxyShell с PetitPotam. Кевин Бомонт задокументировал, как его приманка Exchange обнаружила использование ProxyShell для установки веб-оболочки. Позже злоумышленник повторно посетил, чтобы инициировать постановку артефактов, связанных с программой-вымогателем LockFile. Тем, кто интересуется, как определить, уязвимы ли их серверы, и техническими подробностями об этапах этой атаки, мы настоятельно рекомендуем прочитать сообщение Кевина Бомонта.
PetitPotam
Прежде чем мы сможем указать, как ProxyShell может привести к полномасштабному заражению сетью вымогателями, мы должны рассказать вам больше о PetiPotam. PetitPotam позволяет злоумышленнику запустить атаку ретрансляции NTLM на контроллеры домена.
PetitPotam использует функцию EfsRpcOpenFileRaw API удаленного протокола Microsoft Encrypting File System (MS-EFSRPC). MS-EFSRPC используется для операций обслуживания и управления зашифрованными данными, которые хранятся удаленно и доступны по сети. Подтверждение концепции PetitPotam (PoC) принимает форму атаки «манипулятор посередине» (MitM) на систему аутентификации Microsoft NTLM. Целевой компьютер вынужден инициировать процедуру аутентификации и передавать свои данные аутентификации через NTLM.
Поскольку атака PetitPotam основана не на уязвимости, а использует законную функцию не предназначенным для этого способом, будет сложно исправить эту атаку, не «взламывая». Кроме того, остановка службы шифрованной файловой системы (EFS) не предотвращает использование этой техники. (Подробнее о смягчении последствий см. В нашем сообщении о PetitPotam.)
LockFile
Атаки LockFile были зарегистрированы в основном в США и Азии и были сосредоточены на организациях в сфере финансовых услуг, производства, инжиниринга, юриспруденции, деловых услуг, путешествий и туризма. Symantec указала в своем блоге, что записка о выкупе от программы-вымогателя LockFile очень похожа на записку, используемую группой вымогателей LockBit, и что они ссылаются на Conti в своем адресе электронной почты. Это может означать, что члены этих кибергрупп начали новую операцию, или просто быть еще одним показателем того, как все эти группы связаны между собой и делятся ресурсами и тактикой.
Совет
CISA настоятельно рекомендует организациям выявлять уязвимые системы в своих сетях и немедленно применять обновление безопасности Microsoft от мая 2021 года, устраняющее все три уязвимости ProxyShell, для защиты от этих атак.
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/08/patch-now-microsoft-exchange-attacks-target-proxyshell-vulnerabilities/
Атаки ProxyShell на уязвимые серверы Microsoft Exchange начались несколько месяцев назад, и LockFile и Conti были среди первых групп программ-вымогателей, которые их использовали.
Начинается с Exchange
Атака программы-вымогателя Babuk начинается с того, что исполняемый файл DLL или .NET падает на сервер Exchange с помощью уязвимости ProxyShell.
Затем рабочий процесс Exchange IIS w3wp.exe выполняет эту вредоносную полезную нагрузку для выполнения обфусцированной команды PowerShell, которая включает обход защиты конечной точки, в конечном итоге вызывая веб-запрос для загрузки загрузчика полезной нагрузки с именем tortilla.exe.
Этот загрузчик подключится к «pastebin.pl» и загрузит полезную нагрузку, которая загружается в память и вводится в процесс NET Framework, который в конечном итоге шифрует устройство с помощью программы-вымогателя Babuk.
Хотя аналитики Cisco обнаружили доказательства использования уязвимости ProxyShell в большинстве случаев заражения, в первую очередь в веб-оболочке China Chopper, данные телеметрии отражают широкий спектр попыток использования уязвимостей.
В частности, Tortilla пошла по этим путям, чтобы отказаться от модулей DLL и .NET:
Попытка подделки запроса на стороне сервера с автоматическим обнаружением Microsoft Exchange
Попытка удаленного выполнения кода Atlassian Confluence OGNL-инъекция
Попытка удаленного выполнения кода Apache Struts
Доступ к WordPress wp-config.php через попытку обхода каталога
Попытка обхода аутентификации SolarWinds Orion
Попытка удаленного выполнения команды Oracle WebLogic Server
Попытка десериализации произвольного Java-объекта Liferay
Поскольку в основе этих атак лежат исправленные уязвимости, всем администраторам настоятельно рекомендуется обновить свои серверы до последних версий, чтобы предотвратить их использование в атаках.
Использование Бабука в новых атаках
Babuk Locker - это программа-вымогатель, запущенная в начале 2021 года, когда она начала нацеливаться на предприятия и шифровать их данные с помощью атак с двойным вымогательством.
После того, как исходный код первой версии Babuk и сборщика просочился на хакерские форумы, другие злоумышленники начали использовать программу-вымогатель для запуска собственных атак.
Неясно, была ли Tortilla дочерней компанией Babuk в то время, когда RaaS был активен, или они просто захватили исходный код штамма, когда он вышел, для проведения новых атак.
Однако, поскольку в записке о выкупе, использованной в этих атаках, запрашивается небольшая сумма в 10 000 долларов в Monero, она, вероятно, не была проведена первоначальной операцией Бабука, которая требовала гораздо более крупных вымогателей в биткойнах.
Ориентация на США
Хотя исследователи Talos заметили некоторые атаки в Германии, Таиланде, Бразилии и Великобритании, большинство целей Tortilla находятся в США.
Кроме того, домен pastebin.pl, используемый на этапе распаковки, ранее использовался в кампаниях распространения AgentTesla и FormBook.
Хотя ранее для программы-вымогателя Babuk был выпущен дешифратор, он может расшифровать только тех жертв, чьи закрытые ключи были частью утечки исходного кода.
Следовательно, злоумышленники могут продолжать использовать штамм вымогателя Babuk для запуска своих собственных операций, таких как то, что мы наблюдаем с злоумышленником Tortilla.
https://www.bleepingcomputer.com/news/security/microsoft-exchange-proxyshell-exploits-used-to-deploy-babuk-ransomware/
Майкрософт призвала администраторов немедленно исправить уязвимость Exchange Server высокой степени серьезности, которая может позволить злоумышленникам, прошедшим проверку подлинности, удаленно выполнять код на уязвимых серверах.
Недостаток безопасности, отслеживаемый как CVE-2021-42321, влияет на Exchange Server 2016 и Exchange Server 2019 и вызван неправильной проверкой аргументов командлета в соответствии с рекомендациями Redmond по безопасности.
CVE-2021-42321 влияет только на локальные серверы Microsoft Exchange, включая те, которые используются клиентами в гибридном режиме Exchange (клиенты Exchange Online защищены от попыток эксплуатации, и им не нужно предпринимать никаких дальнейших действий).
«Нам известно об ограниченных целевых атаках в дикой природе с использованием одной из уязвимостей (CVE-2021-42321), которая является уязвимостью после аутентификации в Exchange 2016 и 2019», - пояснила Microsoft.
«Мы рекомендуем немедленно установить эти обновления, чтобы защитить вашу среду».
Для быстрой инвентаризации всех серверов Exchange в вашей среде, на которых установлены обновления (CU и SU), вы можете использовать последнюю версию сценария проверки работоспособности Exchange Server.
Если вы хотите проверить и увидеть, не пострадал ли какой-либо из ваших серверов Exchange от попыток эксплуатации CVE-2021-42321, вам необходимо выполнить следующий запрос PowerShell на каждом сервере Exchange, чтобы проверить наличие определенных событий в журнале событий:
В сентябре Microsoft добавила новую функцию Exchange Server под названием Microsoft Exchange Emergency Mitigation (EM), которая обеспечивает автоматическую защиту уязвимых серверов Exchange.
Это достигается за счет автоматического применения промежуточных мер защиты от ошибок безопасности с высоким риском, чтобы защитить локальные серверы от входящих атак и дать администраторам дополнительное время для применения обновлений безопасности.
Хотя Редмонд сказал, что он будет использовать эту новую функцию для смягчения активно эксплуатируемых недостатков, таких как CVE-2021-42321, сегодняшняя рекомендация и сообщение в блоге, касающееся обновлений безопасности Exchange Server в этом месяце, не содержат никаких упоминаний об использовании Exchange EM.
Локальные серверы Exchange под атакой
С начала 2021 года администраторы Exchange столкнулись с двумя массовыми волнами атак, нацеленных на уязвимости ProxyLogon и ProxyShell.
Начиная с начала марта, несколько поддерживаемых государством и финансово мотивированных злоумышленников использовали эксплойты ProxyLogon для развертывания веб-оболочек, криптомайнеров, программ-вымогателей и других вредоносных программ, нацеленных на более четверти миллиона серверов Microsoft Exchange, принадлежащих десяткам тысяч организаций по всему миру.
Четыре месяца спустя США и их союзники, включая Европейский союз, Великобританию и НАТО, официально обвинили Китай в этой широкомасштабной хакерской кампании Microsoft Exchange.
В августе злоумышленники также начали сканирование и взлом серверов Exchange с использованием уязвимостей ProxyShell после того, как исследователям безопасности удалось воспроизвести работающий эксплойт.
Хотя вначале полезные нагрузки, сбрасываемые на серверы Exchange, эксплуатируемые с помощью эксплойтов ProxyShell, были безвредными, злоумышленники позже переключились на развертывание полезных нагрузок вымогателя LockFile, доставляемых через домены Windows, взломанные с помощью эксплойтов Windows PetitPotam.
https://www.bleepingcomputer.com/news/microsoft/microsoft-urges-exchange-admins-to-patch-bug-exploited-in-the-wild/
Злоумышленники взламывают серверы Microsoft Exchange с помощью эксплойтов ProxyShell и ProxyLogon для распространения вредоносных программ и обхода обнаружения с помощью украденных сообщений электронной почты с внутренней цепочкой ответов.
Когда злоумышленники проводят вредоносные почтовые кампании, сложнее всего заставить пользователей поверить в достаточное доверие к отправителю, чтобы они открылись связанными с вложениями, распространяющими вредоносное ПО, или включили их.
Исследователи TrendMicro обнаружили интересную тактику распространения вредоносной электронной почты среди внутренних пользователей компании с использованием взломанных серверов обмена Microsoft Exchange жертвы.
Считается, что за этой атакой стоит «TR», известный злоумышленник, который рассылает электронные письма с вредоносными вложениями, которые сбрасывают вредоносные программы, включая полезные нагрузки Qbot, IcedID, Cobalt Strike и SquirrelWaffle.
Чтобы заставить корпоративные цели открыть вредоносные вложения, злоумышленник использует серверы Microsoft Exchange, используя уязвимости ProxyShell и ProxyLogon.
Затем злоумышленники используют эти скомпрометированные серверы Exchange для ответа на внутренние электронные письма компании в атаках с цепочкой ответов, содержащих ссылки на вредоносные документы, которые устанавливают различные вредоносные программы.
, - поясняется в отчете Trend Micro.
Поскольку эти электронные письма исходят из одной внутренней сети и кажутся продолжением предыдущего обсуждения между двумя сотрудниками, это приводит к большей степени уверенности в том, что электронное письмо является законным и безопасным.
Это не только эффективно против людей-получателей, но также отлично подходит для того, чтобы не вызывать никаких тревог в системах защиты электронной почты, используемых в целевой фирме.
Вложения, которые приходят или на которые ссылаются эти электронные письма, являются вашими стандартными вредоносными шаблонами Microsoft Excel, которые сообщают получателям «Включить содержимое» для просмотра защищенного файла.
Однако, как только пользователь активирует контент, запускаются вредоносные макросы для загрузки и установки вредоносного ПО, распространяемого с помощью вложения, будь то Qbot, Cobalt Strike, SquirrelWaffle или другое вредоносное ПО.
Согласно отчету Trend Micro, исследователи заявили, что они видели, как эти атаки распространяли загрузчик SquirrelWaffle, который затем устанавливает Qbot.
Тем не менее, исследователь Cryptolaemus TheAnalyst говорит, что вредоносный документ, используемый этим злоумышленником, отбрасывает оба вредоносных ПО как отдельные полезные данные, а не SquirrelWaffle, распространяющий Qbot.
Обновляйте свои серверы Exchange
Microsoft устранила уязвимости ProxyLogon в марте и уязвимость ProxyShell в апреле и мае, рассматривая их как «нулевые дни» на тот момент.
После всего этого времени и широкого распространения информации об этих уязвимостях, отказ от исправления серверов Exchange - это просто открытое приглашение для хакеров.
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-in-internal-reply-chain-attacks/
В минувшие выходные в сети был опубликован проверочный код эксплойта для активно эксплуатируемой уязвимости высокой степени серьезности, затрагивающей серверы Microsoft Exchange.
Ошибка безопасности, зарегистрированная как CVE-2021-42321, влияет на локальные Exchange Server 2016 и Exchange Server 2019 (включая те, которые используются клиентами в гибридном режиме Exchange) и была исправлена корпорацией Майкрософт во вторник исправлений в этом месяце.
Успешная эксплуатация позволяет злоумышленникам, прошедшим проверку подлинности, удаленно выполнять код на уязвимых серверах Exchange.
В воскресенье, почти через две недели после выпуска патча CVE-2021-42321, исследователь Janggggg опубликовал экспериментальный эксплойт для ошибки RCE после авторизации в Exchange.
Админы предупреждены о немедленном исправлении
«Нам известно об ограниченных целевых атаках в дикой природе с использованием одной из уязвимостей (CVE-2021-42321), которая является уязвимостью после аутентификации в Exchange 2016 и 2019», - заявили в Microsoft.
«Мы рекомендуем немедленно установить эти обновления, чтобы защитить вашу среду», - заявила компания, призывая администраторов Exchange исправить ошибку, используемую в «дикой природе».
Чтобы проверить, не пострадал ли какой-либо из ваших уязвимых серверов Exchange уже от попыток эксплуатации CVE-2021-42321, вам необходимо выполнить этот запрос PowerShell на каждом сервере Exchange, чтобы проверить наличие определенных событий в журнале событий:
https://www.bleepingcomputer.com/news/security/exploit-released-for-microsoft-exchange-rce-bug-patch-now/
IKEA борется с непрекращающейся кибератакой, когда злоумышленники атакуют сотрудников во внутренних фишинговых атаках, используя украденные электронные письма с цепочкой ответов.
Атака по электронной почте с цепочкой ответов - это когда злоумышленники крадут законную корпоративную электронную почту, а затем отвечают им ссылками на вредоносные документы, которые устанавливают вредоносное ПО на устройства получателей.
Поскольку электронные письма с цепочкой ответов представляют собой законные электронные письма от компании и обычно отправляются со взломанных учетных записей электронной почты и внутренних серверов, получатели будут доверять электронной почте и с большей вероятностью откроют вредоносные документы.
IKEA борется с продолжающейся атакой
Во внутренних электронных письмах, IKEA предупреждает сотрудников о продолжающейся кибератаке с использованием цепочки ответов, нацеленной на внутренние почтовые ящики. Эти электронные письма также отправляются от других взломанных организаций IKEA и деловых партнеров.
ИТ-специалисты ИКЕА предупреждают сотрудников о том, что электронные письма с цепочкой ответов содержат ссылки с семью цифрами в конце, и поделились примером электронного письма, как показано ниже. Кроме того, сотрудникам рекомендуется не открывать электронные письма, независимо от того, кто их отправил, и немедленно сообщать о них в ИТ-отдел.
Получателям также предлагается сообщить отправителю электронных писем через чат Microsoft Teams, чтобы он сообщил об этих письмах.
Злоумышленники недавно начали компрометировать внутренние серверы Microsoft Exchange, используя уязвимости ProxyShell и ProxyLogin для выполнения фишинговых атак.
Получив доступ к серверу, они используют внутренние серверы Microsoft Exchange для выполнения атак по цепочке ответов против сотрудников, использующих украденные корпоративные электронные письма.
Также есть опасения, что получатели могут выпустить вредоносные фишинговые письма из карантина, думая, что они были пойманы фильтрами по ошибке. Из-за этого они отключают возможность для сотрудников публиковать электронные письма до тех пор, пока атака не будет устранена.
Атака, используемая для распространения трояна Emotet или Qbot
По URL-адресам, указанным в отредактированном фишинговом письме выше, BleepingComputer смог идентифицировать атаку, нацеленную на IKEA.
При посещении этих URL-адресов браузер будет перенаправлен на загрузку с именем «charts.zip», содержащую вредоносный документ Excel. В этом вложении получателям предлагается нажать кнопки «Включить контент» или «Разрешить редактирование», чтобы правильно просмотреть его.
После нажатия этих кнопок будут запущены вредоносные макросы, которые загружают файлы с именами «besta.ocx», «bestb.ocx» и «bestc.ocx» с удаленного сайта и сохраняют их в папке C: \ Datop.
Эти файлы OCX переименовываются в библиотеки DLL и выполняются с помощью команды regsvr32.exe для установки полезной нагрузки вредоносной программы.
Были замечены кампании, в которых использовался этот метод, с установкой трояна Qbot (также известного как QakBot и Quakbot) и, возможно, Emotet на основе данных VirusTotal, найденных BleepingComputer.
Трояны Qbot и Emotet приводят к дальнейшему компрометации сети и, в конечном итоге, к развертыванию программ-вымогателей в взломанной сети.
Из-за серьезности этих заражений и вероятной компрометации их серверов Microsoft Exchange IKEA рассматривает этот инцидент безопасности как серьезную кибератаку, которая потенциально может привести к гораздо более разрушительной атаке.
https://www.bleepingcomputer.com/news/security/ikea-email-systems-hit-by-ongoing-cyberattack/