[ad_1]
El equipo de ESET Research descubrió que LuckyMouse, Tick, Winnti y Calypso, entre otros grupos, estén probablemente utilizando las recientemente descubiertas vulnerabilidades en Microsoft Exchange para comprometer servidores de correo electrónico en todo el mundo.
El 2 de marzo de 2021, Microsoft lanzó parches fuera de banda para Microsoft Exchange Server 2013, 2016 y 2019. Estas actualizaciones de seguridad corrigieron una cadena de vulnerabilidades de ejecución remota de código (RCE) de autenticación previa (CVE-2021-26855, CVE- 2021-26857, CVE-2021-26858 y CVE-2021-27065) que permiten a un atacante tomar el control de cualquier servidor Exchange accesible, sin siquiera conocer las credenciales de una cuenta válida. Al momeno de escribir esta publicación detectamos webshells en más de 5.000 servidores de correo y, según fuentes públicas, varias organizaciones importantes, como la Autoridad Bancaria Europea, sufrieron este ataque.
Estas vulnerabilidades fueron descubiertas por primera vez por Orange Tsai, un conocido investigador de vulnerabilidades, quien las reportó a Microsoft el 5 de enero de 2021. Sin embargo, según una publicación en el blog de Volexity, la explotación activa de estas vulnerabilidades ya había comenzado el 3 de enero de 2021. Por lo tanto, si estas fechas son correctas, las vulnerabilidades fueron descubiertas de forma independiente por dos equipos diferentes o de alguna manera una entidad malintencionada obtuvo esa información sobre las vulnerabilidades. Microsoft también publicó una entrada en su blog sobre las primeras actividades de Hafnium.
El 28 de febrero de 2021 notamos que las vulnerabilidades eran utilizadas por otros actores de amenazas, primero Tick y rápidamente se unieron LuckyMouse, Calypso y el Grupo Winnti. Esto sugiere que varios actores de amenazas obtuvieron acceso a los detalles de las vulnerabilidades antes del lanzamiento del parche, lo que significa que podemos descartar la posibilidad de que hayan creado un exploit mediante la ingeniería inversa de las actualizaciones de Microsoft.
Finalmente, el día después del lanzamiento del parche, comenzamos a ver muchos más actores de amenazas (incluidos Tonto Team y Mikroceen) escaneando y comprometiendo servidores Exchange de forma masiva. Curiosamente, todos ellos son grupos APT interesados en el espionaje, a excepción de un caso atípico que despliega un minero de criptomoneda. Un resumen de la línea de tiempo se muestra en la Figura 1.
Estadísticas de explotación
Durante los últimos días, los investigadores de ESET han estado monitoreando de cerca la cantidad de detecciones de webshell. Al momento de publicación de este artículo observamos más de 5,000 servidores únicos en más de 115 países en los cuales se advirtieron webshells. Estos números son los que refleja la telemetría de ESET y (obviamente) no están completos. La Figura 2 ilustra estas detecciones antes y después del parche de Microsoft.
El mapa de calor de la Figura 3 muestra la distribución geográfica de las detecciones de webshell, según la telemetría de ESET. Debido a la explotación masiva, es probable que represente la distribución de servidores Exchange vulnerables en el mundo en los cuales están instalados productos de seguridad de ESET.
Desde RCE hasta webshells y backdoors
Hemos identificado más de 10 actores de amenazas diferentes que probablemente aprovecharon estas recientes vulnerabilidades en Microsoft Exchange para instalar implantes en los servidores de correo electrónico de las víctimas.
Nuestro análisis se basa en servidores de correo electrónico en los que encontramos webshells en los archivos de configuración de la libreta de direcciones sin conexión (OAB), que es una técnica específica utilizada en la explotación de esta vulnerabilidad de RCE y que ya fue explicada en una publicación de Unit 42. Desafortunadamente, no podemos descartar la posibilidad de que algunos actores de amenazas puedan secuestrar los webshells droppeados por otros grupos en lugar de usar directamente el exploit.
Una vez que se explota la vulnerabilidad y se coloca el webshell en su lugar, observamos intentos de instalar malware adicional a través de él. También notamos que, en algunos casos, varios actores de amenazas apuntaban a la misma organización.
Tick
El 28 de febrero de 2021, Tick (también conocido como Bronze Butler) comprometió el servidor web de una empresa ubicada en el este de Asia que proporciona servicios de TI. Esto significa que el grupo probablemente tuvo acceso al exploit antes del lanzamiento del parche, en este caso al menos dos días antes.
El atacante usó el siguiente nombre para el webshell de la primera etapa:
C:inetpubwwwrootaspnet_clientaspnet.aspx
Luego observamos un backdoor en Delphi, muy similar a los implantes Delphi utilizados por el grupo anteriormente. Las direcciones de C&C utilizadas por este backdoor son www.averyspace[.]net y www.komdsecko[.]net.
Tick es un grupo de APT activo desde 2008 que apunta a organizaciones ubicadas principalmente en Japón, pero también en Corea del Sur, Rusia y Singapur, entre otras. Su principal objetivo parece ser la propiedad intelectual y el robo de información clasificada. Hace uso de varios programas maliciosos patentados como Daserf, xxmm y Datper, así como de distintos RAT de código abierto como Lilith. Tick se encuentra entre los grupos de APT que ahora tienen acceso al backdoor ShadowPad, el cual se utilizó durante la Operación ENTRADE documentada por Trend Micro.
LuckyMouse
El 1 de marzo de 2021, LuckyMouse comprometió el servidor de correo electrónico de una entidad gubernamental en el Medio Oriente, lo que significa que este grupo de APT probablemente tuvo acceso al exploit al menos un día antes del lanzamiento del parche, cuando todavía era una zero-day.
Los operadores de LuckyMouse comenzaron droppeando la herramienta Nbtscan en C:programdata, luego instalaron una variante del webshell ReGeorg y emitieron una solicitud GET a http://34.90.207[.]23/ip usando curl. Finalmente, intentaron instalar su backdoor modular SysUpdate (también conocido como Soldier) que usa la dirección IP antes mencionada como su servidor C&C.
LuckyMouse, también conocido como APT27 y Emissary Panda, es un grupo de ciberespionaje conocido por violar múltiples redes gubernamentales en Asia Central y Medio Oriente, pero también organizaciones transnacionales, como fue el caso de la Organización de Aviación Civil Internacional (OACI) en 2016. Utiliza varias familias de malware personalizadas, como HyperBro y SysUpdate.
Calypso
El 1 de marzo de 2021, el grupo Calypso comprometió los servidores de correo electrónico de entidades gubernamentales en Medio Oriente y en América del Sur, lo que significa que el grupo probablemente tuvo acceso al exploit como zero-day, al igual que LuckyMouse y Tick. En los días siguientes, los operadores de Calypso apuntaron a servidores adicionales de entidades gubernamentales y empresas privadas en África, Asia y Europa utilizando la vulnerabilidad.
El atacante usó los siguientes nombres para el webshell de la primera etapa:
- C:inetpubwwwrootaspnet_clientclient.aspx
- C:inetpubwwwrootaspnet_clientdiscover.aspx
Como parte de estos ataques, se observaron dos backdoors diferentes: una variante de PlugX específica del grupo (Win32/Korplug.ED) y un backdoor personalizado que detectamos como Win32/Agent.UFX (conocido como Whitebird en un informe de Dr.Web). Estas herramientas se cargan mediante el secuestro de orden de búsqueda de la DLL contra ejecutables legítimos (también droppeado por los atacantes):
- netcfg.exe (SHA-1: 1349EF10BDD4FE58D6014C1043CBBC2E3BB19CC5) usando una DLL maliciosa nombrada netcfg.dll (SHA-1: EB8D39CE08B32A07B7D847F6C29F4471CD8264F2)
- CLNTCON.exe (SHA-1: B423BEA76F996BF2F69DCC9E75097635D7B7A7AA) usando una DLL maliciosa nombrada SRVCON.OCX (SHA-1: 30DD3076EC9ABB13C15053234C436406B88FB2B9)
- iPAQDetetion2.exe (SHA-1: C5D8FEC2C34572F5F2BD4F6B04B75E973FDFEA32) usando una DLL maliciosa nombrada rapi.dll (SHA-1: 4F0EA31A363CFE0D2BBB4A0B4C5D558A87D8683E)
Los backdoors fueron configurados para conectarse a los mismos servidores C&C: yolkish[.]com y rawfuns[.]com.
Finalmente, también observamos una variante de una herramienta conocida como Mimikat_ssp que está disponible en GitHub.
Calypso (que también está vinculado a XPATH) es un grupo de ciberespionaje que ha estado apuntando a instituciones gubernamentales en Asia Central, Oriente Medio, América del Sur y Asia. Su principal implante es una variante del RAT PlugX.
Nota del editor: en el transcurso de las próximas horas estaremos actualizando este artículo con más detalles sobre los ataques que se han registrado recientemente aprovechando la vulnerabilidad de RCE en Exchange.
[ad_2]
Source link