Уязвимости MS Exchange используются для развертывания ransomware и malware

отредактировано 1 июл Раздел: Уязвимости систем и приложений
Cisco Talos недавно обнаружила вредоносную кампанию по развертыванию вариантов программы-вымогателя Babuk, поражающей преимущественно пользователей в США, с меньшим количеством заражений в Великобритании, Германии, Украине, Финляндии, Бразилии, Гондурасе и Таиланде.
Актера кампании иногда называют Тортилла, исходя из имен файлов полезной нагрузки, используемых в кампании. Это новый субъект, работающий с июля 2021 года. До этого вымогателя Tortilla экспериментировала с другими полезными нагрузками, такими как основанный на PowerShell netcat, клон Powercat, который, как известно, предоставляет злоумышленникам несанкционированный доступ к машинам Windows.
Мы с уверенностью оцениваем, что первоначальным вектором заражения является эксплуатация уязвимостей ProxyShell в Microsoft Exchange Server посредством развертывания веб-оболочки China Chopper.

Какие новости?

12 октября 2021 г. Cisco Talos обнаружила вредоносную кампанию с использованием телеметрии продуктов Cisco Secure, нацеленную на уязвимые серверы Microsoft Exchange и пытающуюся использовать уязвимость ProxyShell для развертывания программы-вымогателя Babuk в среде жертвы. Актер использует несколько необычную технику цепочки заражения, когда промежуточный модуль распаковки размещается на клоне pastebin.com pastebin.pl. Промежуточный этап распаковки загружается и декодируется в памяти до того, как будет расшифрована и выполнена окончательная полезная нагрузка, встроенная в исходный образец.

Как это работало?

Заражение обычно начинается с загрузочного модуля на сервере жертвы. Мы наблюдали загрузчики в автономном исполняемом формате и в формате DLL. Загрузчик DLL запускается родительским процессом w3wp.exe, который является рабочим процессом Exchange IIS.

Первоначальный загрузчик представляет собой модифицированный эксплойт EfsPotato для нацеливания на уязвимости proxyshell и PetitPotam. Загрузчик запускает встроенную запутанную команду PowerShell для подключения и загрузки упакованного модуля загрузчика из инфраструктуры актора. Команда PowerShell также выполняет обход AMSI для обхода защиты конечных точек. Сервер загрузки размещается на вредоносных доменах fbi [.] Fund и xxxs [.] Info.

Первоначально упакованный модуль загрузчика содержит зашифрованные ресурсы .NET в виде растровых изображений. Расшифрованный контент и есть фактическая полезная нагрузка программы-вымогателя Babuk. Чтобы расшифровать и распаковать полезную нагрузку, загрузчик подключается к URL-адресу pastebin.pl, содержащему промежуточный модуль распаковщика. Модуль распаковщика расшифровывает внедренную полезную нагрузку программы-вымогателя Babuk в памяти и внедряет ее во вновь созданный процесс AddInProcess32.
Модуль вымогателя Babuk, работающий в рамках процесса AddInProcess32, перечисляет процессы, запущенные на сервере жертвы, и пытается отключить ряд процессов, связанных с продуктами резервного копирования, такими как служба резервного копирования Veeam. Он также удаляет моментальные снимки службы теневого копирования томов (VSS) с сервера с помощью утилиты vssadmin, чтобы убедиться, что зашифрованные файлы не могут быть восстановлены из их копий VSS
. Модуль вымогателя шифрует файлы на сервере жертвы и добавляет к зашифрованным файлам расширение .babyk. Актер требует, чтобы жертва заплатила 10 000 долларов США за ключ дешифрования для восстановления своих файлов.

И что?

Babuk - это программа-вымогатель, которую можно скомпилировать для нескольких аппаратных и программных платформ. Компиляция настраивается с помощью сборщика программ-вымогателей. Windows и ARM для Linux являются наиболее часто используемыми скомпилированными версиями, но со временем наблюдались ESX и 32-разрядный старый исполняемый файл PE. Однако в этой конкретной кампании мы обнаружили свидетельства того, что акторы специально нацелены на Windows.

Программа-вымогатель Babuk опасна по своей природе и, шифруя машину жертвы, прерывает процесс резервного копирования системы и удаляет теневые копии тома. В начале сентября 2021 года произошла утечка исходного кода Бабука и бинарного компоновщика, что, возможно, подтолкнуло новых злоумышленников к манипулированию и развертыванию вредоносного ПО. Недавно был выпущен дешифратор Бабука. К сожалению, он эффективен только для файлов, зашифрованных с помощью нескольких утекших ключей, и не может использоваться для расшифровки файлов, зашифрованных вариантом, описанным в этом сообщении в блоге.

Организации должны регулярно обновлять свои серверы и приложения последними доступными исправлениями от поставщиков, устраняющими уязвимости в их среде. Защитники должны постоянно искать подозрительные события, генерируемые системами обнаружения для внезапного прекращения обслуживания, аномально высокой скорости ввода-вывода для дисков, подключенных к их серверам, удаления теневых копий или изменений конфигурации системы.

Сводная информация о цепочке заражения

Cisco Talos обнаружила вредоносную кампанию, в которой использовались исполняемые файлы DLL или .NET. Один из двух типов файлов запускает цепочку заражения целевой системы. Первоначальный исполняемый модуль .NET запускается как дочерний процесс w3wp.exe и вызывает командную оболочку для выполнения запутанной команды PowerShell.

Команда PowerShell вызывает веб-запрос и загружает модуль загрузчика полезной нагрузки с помощью certutil.exe с URL-адреса, размещенного в доменах fbi [.] Fund и xxxs [.] Info, или с IP-адреса 185 [.] 219 [.] 52 [ .] 229.

Загрузчик полезной нагрузки загружает промежуточный этап распаковки с сайта клона PasteBin pastebin.pl. Распаковщик объединяет растровые изображения, встроенные в раздел ресурсов трояна, и расшифровывает полезную нагрузку в памяти. Полезная нагрузка вводится в процесс AddInProcess32 и используется для шифрования файлов на сервере жертвы и всех подключенных дисках.

oqhqyq6peakm.jpg

Этап 1: Загрузчики

Мы наблюдали исходные серверы, нацеленные на исполняемые файлы или библиотеки DLL, которые используют архитектуру Intel и AMD. Обычно, если исполняемый файл имеет w3wp (рабочий процесс IIS в Exchange) в качестве родительского процесса, это означает, что злоумышленник воспользовался уязвимостью ProxyShell. В наблюдаемых зараженных системах также была установлена ​​веб-оболочка China Chopper. Мы полагаем, что China Chopper в конечном итоге запустил команду начальной загрузки.

Наша телеметрия также показывает, что инфраструктура актора была активна в попытках использовать ряд уязвимостей в других продуктах, чаще всего запускающих следующие правила Snort:

Попытка подделки запроса на стороне сервера автообнаружения Microsoft Exchange (57907)
Попытка удаленного выполнения кода с внедрением OGNL Atlassian Confluence (58094)
Попытка удаленного выполнения кода Apache Struts (39190, 39191)
Доступ WordPress к wp-config.php через попытку обхода каталога (41420)
Попытка обхода аутентификации SolarWinds Orion (56916)
Попытка удаленного выполнения команды Oracle WebLogic Server (50020)
Попытка десериализации произвольного Java-объекта Liferay (56800)

DLL

Мы заметили, что родительский процесс w3wp.exe, рабочий процесс IIS, который запускает приложения .NET, запускает DLL-загрузчик. DLL представляет собой сборку в смешанном режиме, функциональность которой включена в исходную точку входа библиотеки DllMainCRTStartup. Функция DllMainCRTStartup вызывает командную оболочку для запуска закодированной команды PowerShell для загрузки загрузчика следующего этапа из hxxp: // fbi [.] Fund / dark.exe, который является основным упакованным модулем, содержащим конечную полезную нагрузку.

Модуль загрузчика исполняемых файлов .NET

Исполняемая версия .NET начального загрузчика представляет собой слегка модифицированный вариант эксплойта EfsPotato с кодом для загрузки и запуска следующего этапа. EfsPotato - это эксплойт, который пытается повысить привилегии процесса с помощью уязвимости в зашифрованной файловой системе (CVE-2021-36942).

Команда PowerShell вызывает веб-запрос для подключения к вредоносному репозиторию hxxp: // fbi [.] Fund / tortillas / с помощью командлета Invoke-WebRequest и certutil.exe для загрузки модуля основного загрузчика и сохранения его как tortilla.exe. Наконец, загрузчик запускает tortilla.exe.

6cegionb1hht.png


Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:

Комментарии

  • отредактировано ноября 2021 PM
    Эксплойт перечисляет текущие привилегии пользователя и доступ к токену пользователя и изменяет уровень доступа к токену на MaximumAllowed, тем самым расширяя привилегии и вызывая функцию CreateProcessAsUser для запуска загрузчика этапа 2 как нового процесса в контексте безопасности, указанном в токене пользователя жертвы. учетная запись.

    Актер выполняет обход AMSI и отключает мониторинг в реальном времени Защитника Windows, сканирование сценариев и мониторинг поведения, выполняя командлет Set-MpPreference.

    Загрузчики этапа 1, связанные с этой кампанией, подписаны той же цифровой подписью, действительность которой мы не можем проверить. Отпечаток подписи: 21D354A27519DD62B328416BAB01767DA94786CB. Этим же сертификатом актер подписывает образцы предыдущих кампаний, проведенных с июля 2021 года.

    Этап 2: Загрузчик основного модуля

    На втором этапе основной загрузчик вымогателей содержит окончательную полезную нагрузку. Это 32-битный исполняемый файл .NET, маскирующийся под законное приложение системы управления запасами (SMS), которое не следует путать с протоколом обмена SMS-сообщениями. В модуль входит ConfuserEx, бесплатный защитник с открытым исходным кодом для .NET-приложений. Этот этап загружается процессом, запущенным рабочим процессом Exchange IIS.

    Приложение содержит окончательную полезную нагрузку в зашифрованном формате, разделенную между ресурсами .NET.

    Он пытается подключиться к URL-адресу хттпс[:]//pastebin.pl/view/raw/a57be2ca и загрузить промежуточный модуль, необходимый для распаковки окончательной полезной нагрузки.

    URL-адрес передается в качестве аргумента функции дешифрования, которая загружает поток данных из PasteBin и расшифровывает поток данных в памяти для создания промежуточного модуля распаковки.

    Этап 3: Промежуточный распаковщик

    Промежуточный распаковщик - это DLL, двоичный файл которой хранится в виде закодированного текста в PasteBin. Библиотека связана с классами, которые проверяют наличие песочниц и сред виртуальных машин, перечисляя свои службы, чтобы определить, работает ли она в виртуализированной среде.

    DLL содержит несколько массивов с символами ASCII, значения которых, такие как путь к папке и расположение каталогов, расшифровываются с использованием алгоритма Rijndael.

    Распаковщик создает копию легитимного файла AddInProcess32.exe во временной папке пользователя C: \ Users \ Username \ AppData \ Local \ Temp и запускает процесс в приостановленном режиме. Microsoft рекомендовала занести это приложение в черный список, так как его можно использовать для обхода контроля приложений Защитника Windows.

    Промежуточный модуль распаковки получает доступ к ресурсам загрузчика этапа 2, анализирует поток двоичных данных, встроенных в файлы растровых изображений, в память и на основе конфигурации упаковщика вводит расшифрованный модуль в виртуальную память ранее запущенного AddInProcess32.exe. Распакованный модуль в памяти - это полезная нагрузка программы-вымогателя Бабук.
    Упаковщик имеет возможность вводить полезную нагрузку в зависимости от ее конфигурации в один из следующих процессов:

    AppLaunch.exe
    svchost.exe
    RegAsm.exe
    InstallUtil.exe
    mscorsvw.exe
    AddInProcess32.exe

    Чтобы скрыть факт загрузки модуля из Интернета, распаковщик удаляет идентификатор зоны альтернативного потока данных основного загрузчика.

    Этап 4: полезная нагрузка программы-вымогателя Babuk

    Загрузчик этапа 2 создает копию файла AddinProcess32.exe во временном каталоге пользователя и запускает процесс. Распакованная полезная нагрузка программы-вымогателя Babuk вводится в процесс и запускается. Этот конкретный вариант похож на ранее задокументированные варианты с небольшими изменениями.

    Полезная нагрузка программы-вымогателя создает мьютекс с именем DoYouWantToHaveSexWithCuongDong, ссылаясь на имя исследователя, проанализировавшего его в начале года.

    Полезная нагрузка запускает командную оболочку в фоновом режиме и выполняет команду для удаления теневой копии тома машины жертвы с помощью vssadmin.exe.

    Затем модуль полезной нагрузки открывает диспетчер служб, чтобы перечислить запущенные службы с целью найти службы резервного копирования, перечисленные на снимке экрана ниже. Если какая-либо из служб резервного копирования будет обнаружена, троян остановит их с помощью вызова функции ControlService API.

    Модуль полезной нагрузки просматривает файловую систему в поисках файлов для шифрования. После шифрования файлы будут иметь новое расширение имени файла .babyk. Однако Бабук также содержит список имен файлов и каталогов, которые будут исключены из процесса шифрования, чтобы система оставалась работоспособной и позволяла злоумышленникам общаться с жертвой.

    Записку с требованием выкупа
    Модуль полезной нагрузки создает файл How To Restore your Files.txt, который содержит уведомление жертве о том, что ее сеть взломана, а ее файлы зашифрованы с использованием AES-256-CTR с шифром ChaCha8.
    Актер требует, чтобы жертва заплатила эквивалент 10000 долларов США, уплаченных в Monero (XMR), на адрес кошелька.
    46zdZVRjm9XJhdjpipwtYDY51NKbD74bfEffxmbqPjwH6efTYrtvbU5Et4AKCre9MeiqtiR51Lvg2X8dXv1tP7nxLaEHKKQ
    Актер также раскрыл свои идентификаторы электронной почты, чтобы жертвы могли связаться с ними для дальнейших инструкций и ключа дешифрования после совершения платежа.

    hrfnnoe98ooq.png

    Tortilla и их инфраструктура
    Инфраструктура Tortilla состоит из сервера загрузки на основе Unix и размещает их промежуточный код распаковщика на сайте pastebin.pl, который, похоже, не имеет отношения к популярному pastebin.com. Несмотря на то, что это законно, мы наблюдали несколько предыдущих вредоносных кампаний, включая варианты AgentTesla и Formbook, размещающие на сайте их дополнительный контент. Доступ к сайту из сети компании может свидетельствовать об успешном взломе.

    сервер загрузки

    Согласно Shodan, сервер загрузки с IP-адресом 185 [.] 219 [.] 52 [.] 229 расположен в Москве, Россия, и работает под управлением OpenSSH и Python версии 3.9.7. Есть два домена, контролируемых субъектом: fbi [.] Fund и xxxs [.] Info. Оба этих домена преобразуются в IP-адрес 185 [.] 219 [.] 52 [.] 229, IP-адрес, на котором размещены все вредоносные модули, за исключением промежуточного модуля распаковщика, размещенного на pastebin.pl.
    Информация о домене xxxs [.] Использовалась в кампаниях до 13 октября 2021 года, когда актер перешел на использование фонда fbi [.].

    Заключение

    Утечка конструктора Babuk и его исходного кода в июле способствовала его широкой доступности даже для менее опытных операторов программ-вымогателей, таких как Tortilla. Этот субъект работает только с начала июля этого года и экспериментирует с различными полезными нагрузками, по-видимому, для получения и поддержания удаленного доступа к зараженным системам. Актер демонстрирует навыки от низкого до среднего, приличное понимание концепций безопасности и способность вносить незначительные изменения в существующие вредоносные программы и агрессивные инструменты безопасности.

    Телеметрия Cisco Talos показывает, что злоумышленник использует свою инфраструктуру для размещения вредоносных модулей и проводит сканирование в Интернете для использования уязвимых хостов, на которых размещены несколько популярных приложений, включая Microsoft Exchange. Эта конкретная кампания Бабука, похоже, в первую очередь полагается на использование уязвимостей Exchange Server.

    Организации и защитники должны сохранять бдительность в отношении таких угроз и внедрять многоуровневую защиту с включенной поведенческой защитой для конечных точек и серверов, чтобы обнаруживать угрозы на ранней стадии цепочки заражения.

    Как всегда в случае с программами-вымогателями, основными средствами защиты являются надежные методы резервного копирования, а также развертывание централизованных средств ведения журналов и XDR для наиболее важных ресурсов в сетях организации. В дополнение к этому защитникам настоятельно рекомендуется применить последние исправления безопасности ко всем серверам, обращенным извне, а также к важным активам во внутренней сети.

    https://blog.talosintelligence.com/2021/11/babuk-exploits-exchange.html
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Серверы Microsoft Exchange взломаны для развертывания вымогателя BlackByte

    кибергруппа BlackByte теперь взламывает корпоративные сети, эксплуатируя серверы Microsoft Exchange с помощью уязвимостей ProxyShell.

    ProxyShell - это название набора из трех уязвимостей Microsoft Exchange, которые позволяют удаленное выполнение кода без проверки подлинности на сервере, когда они связаны друг с другом.

    Эти уязвимости перечислены ниже и были исправлены обновлениями безопасности, выпущенными в апреле и мае 2021 года:

    CVE-2021-34473 - запутывание пути перед аутентификацией приводит к обходу ACL (исправлено в апреле KB5001779)
    CVE-2021-34523 - Повышение привилегий для серверной части Exchange PowerShell (исправлено в апреле, KB5001779)
    CVE-2021-31207 - Запись произвольного файла после авторизации приводит к RCE (исправлено в мае KB5003435)

    С тех пор, как исследователи обнаружили уязвимости, злоумышленники начали использовать их для взлома серверов и установки веб-шеллов, криптомайнеров и программ-вымогателей.

    BlackByte начинает использовать ProxyShell

    В подробном отчете Red Canary исследователи проанализировали атаку программы-вымогателя BlackByte, в которой они увидели, что они использовали уязвимости ProxyShell для установки веб-шеллов на скомпрометированный сервер Microsoft Exchange.

    Веб-оболочки - это небольшие сценарии, загружаемые на веб-серверы, которые позволяют злоумышленнику сохранять постоянство на устройстве и удаленно выполнять команды или загружать дополнительные файлы на сервер.

    Затем установленная веб-оболочка используется для размещения на сервере маяка Cobalt Strike, который вводится в процесс агента обновления Windows.

    Затем широко используемый инструмент тестирования на проникновение используется для сброса учетных данных для учетной записи службы в скомпрометированной системе.

    Наконец, взяв учетную запись, злоумышленники устанавливают инструмент удаленного доступа AnyDesk и затем переходят к этапу бокового перемещения.

    BlackByte по-прежнему представляет серьезную угрозу

    При проведении атак программ-вымогателей злоумышленники обычно используют сторонние инструменты для получения повышенных привилегий или развертывания программы-вымогателя в сети.

    Однако фактический исполняемый файл программы-вымогателя BlackByte играет центральную роль, поскольку он обрабатывает как повышение привилегий, так и возможность червя или бокового перемещения в скомпрометированной среде.

    Вредоносная программа устанавливает три значения реестра: одно для повышения локальных привилегий, одно для включения совместного использования сетевого подключения между всеми уровнями привилегий и одно для разрешения длинных значений пути для путей, имен и пространств имен файлов.
    Перед шифрованием вредоносная программа удаляет запланированную задачу «Raccine Rules Updater», чтобы предотвратить перехват в последнюю минуту, а также стирает теневые копии напрямую через объекты WMI с помощью обфусцированной команды PowerShell.


    Наконец, украденные файлы извлекаются с помощью WinRAR для архивирования файлов и анонимных платформ обмена файлами, таких как file.io или anonymfiles.com.

    Хотя Trustwave выпустила дешифратор для вымогателя BlackByte в октябре 2021 года, маловероятно, что операторы по-прежнему используют ту же тактику шифрования, которая позволяла жертвам бесплатно восстанавливать свои файлы.

    Таким образом, вы можете или не сможете восстановить свои файлы с помощью этого дешифратора, в зависимости от того, какой ключ был использован в конкретной атаке.

    Red Canary столкнулась с множеством «свежих» вариантов BlackByte в дикой природе, поэтому авторы вредоносного ПО явно пытаются избежать обнаружения, анализа и дешифрования.

    От ProxyShell до программ-вымогателей

    Использование уязвимостей ProxyShell для удаления программ-вымогателей не новость, и на самом деле мы наблюдали нечто подобное в начале ноября у актеров, развернувших штамм Babuk.

    Набор ProxyShell активно эксплуатируется несколькими участниками, по крайней мере, с марта 2021 года, поэтому время для применения обновлений безопасности давно назрело.

    Если это невозможно по какой-либо причине, администраторам рекомендуется контролировать свои открытые системы на предмет действий-предшественников, таких как удаление теневых копий, подозрительное изменение реестра и выполнение PowerShell в обход политик ограничений.

    https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-blackbyte-ransomware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Microsoft: серверы Exchange взломаны для развертывания программы-вымогателя BlackCat

    Microsoft сообщает, что филиалы программы-вымогателя BlackCat теперь атакуют серверы Microsoft Exchange, используя эксплойты, нацеленные на неисправленные уязвимости.

    По крайней мере, в одном инциденте, который наблюдали эксперты по безопасности Microsoft, злоумышленники медленно перемещались по сети жертвы, похищая учетные данные и экстрагируя информацию, чтобы использовать ее для двойного вымогательства.

    Через две недели после первоначальной компрометации с использованием неисправленного сервера Exchange в качестве вектора входа злоумышленник развернул по сети полезные нагрузки программы-вымогателя BlackCat через PsExec.

    «Хотя общие векторы проникновения для этих субъектов угроз включают приложения для удаленного рабочего стола и скомпрометированные учетные данные, мы также видели, как злоумышленник использует уязвимости сервера Exchange для получения доступа к целевой сети», — заявила группа Microsoft 365 Defender Threat Intelligence Team.
    Хотя в нем не упоминается уязвимость Exchange, используемая для первоначального доступа, Microsoft ссылается на рекомендации по безопасности от марта 2021 года с рекомендациями по расследованию и смягчению атак ProxyLogon.

    BlackCat_entry_via_Exchange.png
    Киберпреступники стекаются к программе-вымогателю BlackCat

    Одна из них, финансово мотивированная группа киберпреступников, отслеживаемая как FIN12, известна тем, что ранее использовала программы-вымогатели Ryuk, Conti и Hive в атаках, в основном нацеленных на организации здравоохранения.

    Однако, как показал Mandiant, операторы FIN12 работают намного быстрее, поскольку иногда они пропускают этап кражи данных и им требуется менее двух дней, чтобы передать свои полезные данные для шифрования файлов в сети цели.

    «Мы заметили, что эта группа добавила BlackCat в свой список распределенных полезных нагрузок, начиная с марта 2022 года», — добавили в Microsoft.

    «Подозревается, что их переход на BlackCat с их последней использованной полезной нагрузки (Hive) произошел из-за публичного обсуждения методологий расшифровки последнего».

    Программа-вымогатель BlackCat также развертывается аффилированной группой, отслеживаемой как DEV-0504, которая обычно извлекает украденные данные с помощью Stealbit, вредоносного инструмента, который банда LockBit предоставляет своим аффилированным лицам в рамках своей программы RaaS.

    DEV-0504 также использовал другие штаммы программ-вымогателей, начиная с декабря 2021 года, включая BlackMatter, Conti, LockBit 2.0, Revil и Ryuk.

    Для защиты от атак программ-вымогателей BlackCat корпорация Майкрософт рекомендует организациям пересматривать свои идентификационные данные, отслеживать внешний доступ к своим сетям и как можно скорее обновлять все уязвимые серверы Exchange в своей среде.

    Используется в сотнях атак программ-вымогателей

    В апреле ФБР предупредило, что программа-вымогатель BlackCat использовалась для шифрования сетей по меньшей мере 60 организаций по всему миру в период с ноября 2021 года по март 2022 года.

    «Многие разработчики для BlackCat/ALPHV связаны с Darkside/Blackmatter, что указывает на то, что у них есть обширные сети и опыт работы с программами-вымогателями», — заявили тогда в ФБР.

    Однако реальное количество жертв BlackCat, скорее всего, намного выше, учитывая, что в период с ноября 2021 года по июнь 2022 года на платформу ID-Ransomware было отправлено более 480 образцов.

    BlackCat_activity.png

    https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-blackcat-ransomware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 1 июл PM
    Серверы Microsoft Exchange по всему миру заблокированы новым вредоносным ПО

    Злоумышленники использовали недавно обнаруженное вредоносное ПО для бэкдора серверов Microsoft Exchange, принадлежащих правительственным и военным организациям из Европы, Ближнего Востока, Азии и Африки.

    Вредоносное ПО, названное SessionManager исследователями безопасности из «Лаборатории Касперского», впервые обнаружившими его в начале 2022 года, представляет собой вредоносный модуль с собственным кодом для программного обеспечения веб-сервера Microsoft Internet Information Services (IIS).
    Он использовался в дикой природе без обнаружения по крайней мере с марта 2021 года, сразу после начала прошлогодней массовой волны атак ProxyLogon.
    «Бэкдор SessionManager позволяет злоумышленникам сохранять постоянный, устойчивый к обновлениям и довольно скрытый доступ к ИТ-инфраструктуре целевой организации», — сообщил в четверг «Лаборатория Касперского».

    «Попав в систему жертвы, киберпреступники за бэкдором могут получить доступ к электронной почте компании, обновить дальнейший вредоносный доступ, установив другие типы вредоносных программ, или тайно управлять скомпрометированными серверами, которые могут быть использованы в качестве вредоносной инфраструктуры».

    Возможности SessionManager включают, среди прочего:
    удаление и управление произвольными файлами на скомпрометированных серверах
    удаленное выполнение команд на устройствах с бэкдором
    подключение к конечным точкам в локальной сети жертвы и управление сетевым трафиком

    В конце апреля 2022 года, продолжая расследование атак, «Лаборатория Касперского» обнаружила, что большинство выявленных ранее образцов вредоносных программ по-прежнему развернуты на 34 серверах 24 организаций (по состоянию на июнь 2022 года).

    Кроме того, спустя несколько месяцев после первоначального обнаружения они все еще не были помечены как вредоносные «популярным онлайн-сервисом сканирования файлов».

    После развертывания вредоносный модуль IIS позволяет своим операторам извлекать учетные данные из системной памяти, собирать информацию из сети жертв и зараженных устройств, а также доставлять дополнительные полезные нагрузки (например, рефлективный загрузчик Mimikatz на основе PowerSploit, Mimikatz SSP, ProcDump и законный инструмент дампа памяти Avast).

    «Эксплуатация уязвимостей серверов Exchange с первого квартала 2021 года была фаворитом киберпреступников, стремящихся проникнуть в целевую инфраструктуру. Недавно обнаруженный SessionManager был плохо обнаружен в течение года и до сих пор используется в дикой природе», — добавил Пьер Делчер, старший исследователь безопасности. на GReAT Касперского.

    «В случае серверов Exchange мы не можем не подчеркнуть: уязвимости прошлого года сделали их идеальной мишенью, какими бы ни были злонамеренные намерения, поэтому их следует тщательно проверять и отслеживать на предмет скрытых имплантов, если они еще не были обнаружены».

    «Лаборатория Касперского» обнаружила вредоносное ПО SessionManager, продолжая искать бэкдоры IIS, подобные Owowa, еще одному вредоносному модулю IIS, который злоумышленники развертывают на серверах Microsoft Exchange Outlook Web Access с конца 2020 года для кражи учетных данных Exchange.

    Ссылки на группы Gelsemium APT

    Основываясь на аналогичной виктимологии и использовании варианта бэкдора типа HTTP-сервера под названием OwlProxy, эксперты по безопасности «Лаборатории Касперского» полагают, что бэкдор SessionManager IIS использовался в этих атаках злоумышленником Gelsemium в рамках всемирной шпионской операции.

    Эта хакерская группа была активна по крайней мере с 2014 года, когда некоторые из ее вредоносных инструментов были обнаружены лабораторией безопасности GDATA при расследовании кампании кибершпионажа «Operation TooHash». В 2016 году в презентации Verint Systems на конференции HITCON появились новые индикаторы компрометации Gelsemium.

    Два года спустя, в 2018 году, VenusTech представила образцы вредоносных программ, связанных с Operation TooHash и неизвестной группой APT,
    которые словацкая компания ESET позже пометила как ранние версии вредоносных программ Gelsemium.

    В прошлом году ESET также сообщила, что ее исследователи связали Gelsemium с Operation NightScout, атакой цепочки поставок, нацеленной на систему обновлений эмулятора Android NoxPlayer для Windows и macOS (с более чем 150 миллионами пользователей) для заражения систем геймеров в период с сентября 2020 года по январь 2021 года. .

    В остальном группа Gelsemium APT в основном известна тем, что нацелена на правительства, производителей электроники и университеты из Восточной Азии и Ближнего Востока и в основном остается незамеченной.

    https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-worldwide-backdoored-with-new-malware/

    https://securelist.com/the-sessionmanager-iis-backdoor/106868/

    https://securelist.com/owowa-credential-stealer-and-remote-access/105219/

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.