Mandiant, Sophos podrobně popisuje nebezpečné útoky ProxyShell

Mandiant, Sophos podrobně popisuje nebezpečné útoky ProxyShell

Několik aktérů hrozeb nyní sdružuje svou aktivitu kolem zranitelností ProxyShell na Microsoft Exchange Serveru, což v srpnu vyvolalo v kruzích kybernetické bezpečnosti poplach po zpackaném procesu zveřejňování.

Vyplývá to ze dvou nových výzkumů společností Mandiant a Sophos, které již několik týdnů sledují aktivitu kolem ProxyShell.

Společnost Mandiant uvedla, že reagovala na několik průniků zahrnujících vykořisťování ProxyShell napříč různými zákazníky a průmyslovými odvětvími a že rozšířená dostupnost zneužití typu proof-of-concept (PoC) nepomohla.

“Příklady důkazu o konceptu.” [PoC] exploity vyvinuté a zveřejněné veřejně bezpečnostními výzkumníky by mohla využít jakákoli skupina hrozeb, což by vedlo k přijetí skupinami hrozeb s různou úrovní náročnosti, “ uvedl výzkumný tým společnosti Mandiant v příspěvku na blogu.

“Společnost Mandiant sledovala řetězec exploitů, který vyústil v činnosti po exploataci, včetně nasazení webových prostředí, zadních vrátků a nástrojů pro tunelování za účelem dalšího kompromitování organizací obětí.” Od vydání tohoto blogu sleduje Mandiant osm nezávislých klastrů. Mandiant očekává, že se budou vytvářet další klastry, protože různí aktéři hrozeb přijmou pracovní vykořisťování. “

V jednom útoku ProxyShell, na který reagoval jeho tým řízené obrany, se na americkou univerzitu zaměřil herec hrozby sledovaný Mandiantem jako UNC2980. Toto je jen jeden z řady klastrů hrozeb, které se objevily v posledních několika týdnech, a je hodnoceno (i když v tuto chvíli s nízkou spolehlivostí) jako kybernetická špionáž, která utíká z Číny

Mandiant uvedl, že skupina využívá tři běžné chyby zabezpečení a expozice (CVE), které společně tvoří ProxyShell, aby nahrály webové skořepiny do svých cílů za účelem získání počátečního přístupu. Poté používá několik veřejně dostupných nástrojů, včetně Earthworm, Htran, Mimikatz a WMIExec, k odhalení a vyklouznutí ze své hromady ukradených dat.

Mezitím tým reakce na incident Sophosu sdílel podrobnosti o vyšetřování série nedávných útoků přidružené společnosti gang ransomwaru Conti, který také použil ProxyShell k vytvoření počátečního přístupu před sledováním standardního playbooku Conti.

Conti není v žádném případě první posádkou ransomwaru, která začala používat ProxyShell – ti, kteří nasazují nový ransomware LockFile, také vyráběli seno – ale útoky Conti sledované Sophosem byly neobvyklé, protože se rozvinuly v rekordním čase, vysvětlil vedoucí výzkumu hrozeb Sophos Labs Sean Gallagher.

“Protože útočníci získali zkušenosti s těmito technikami, jejich doba prodlevy před spuštěním konečného užitečného zatížení ransomwaru v cílových sítích se snížila z týdnů na dny až hodiny,” řekl.

“V případě jednoho ze skupiny útoků založených na ProxyShell pozorovaných Sophosem se pobočkám Conti podařilo získat přístup do sítě cíle a nastavit vzdálený webový shell za méně než minutu.” O tři minuty později nainstalovali druhý záložní webový shell. Do 30 minut vygenerovali kompletní seznam počítačů v síti, řadičů domény a správců domény.

“Jen o čtyři hodiny později pobočky Conti získaly pověření účtů správce domény a začaly vykonávat příkazy,” řekl Gallagher. “Do 48 hodin od získání prvního přístupu útočníci získali asi 1 terabajt dat.” Poté, co uplynulo pět dní, nasadili ransomware Conti na každý počítač v síti, konkrétně se zaměřili na jednotlivé síťové sdílené položky na každém počítači. “

V průběhu útoku pobočka Conti nainstalovala do cílové sítě sedm zadních dveří, která obsahovala dvě webové skořepiny, čtyři komerční nástroje pro vzdálený přístup – AnyDesk, Atera, Splashtop a Remote Utilities – a nevyhnutelně Cobalt Strike.

Gallagher naléhal na uživatele Microsoft Exchange, aby použili opravy, které zmírňují zneužití ProxyShell, ale poznamenal, že dostupné opravy vyžadují upgrade nedávné kumulativní aktualizace Exchange Serveru, což znamená, že uživatelé musí v zásadě přeinstalovat Exchange a prodloužit dobu výpadku, což může znamenat odložení.

Share

Leave a Reply

Your email address will not be published. Required fields are marked *