Cómo los grupos de delitos informáticos están explotando las últimas fallas de Microsoft Exchange


Los delincuentes han estado apuntando a las organizaciones que ejecutan Trade con la esperanza de violar las que no han corregido los últimos errores, dice ESET.

microsoft-exchange.png

Microsoft

Cuatro vulnerabilidades críticas de día cero en Microsoft Exchange han allanado el camino para que los atacantes se apoderen de los servidores Trade accesibles incluso sin conocer las credenciales. El 2 de marzo, Microsoft lanzó una serie de actualizaciones para corregir las fallas. Pero los ciberdelincuentes se han apresurado a piratear las organizaciones afectadas que aún no han aplicado los parches. Además, muchas organizaciones se vieron comprometidas después de que se descubrieron y explotaron las vulnerabilidades, pero antes de que Microsoft lanzara sus parches.

VER: Los 10 ciberataques más importantes de la década (PDF gratuito) (TechRepublic)

La mayoría de los dedos hasta ahora han estado apuntando a un grupo de ciberdelincuencia con sede en China llamado Hafnio como el principal culpable de explotar estos defectos y atacar a las organizaciones. Pero el proveedor de seguridad ESET ha detectado varios grupos diferentes de APT (Amenaza persistente avanzada) que también se aprovechan de los errores. en un informe publicado el miércoles, ESET analiza varios de estos ataques APT y aconseja a las organizaciones sobre los pasos correctos a seguir.

Las cuatro vulnerabilidades de Exchange en cuestión fueron descubiertas por primera vez por un investigador de vulnerabilidades Tsai naranja, quien los informó a Microsoft el 5 de enero, según ESET. Pero empresa de seguridad Volexity, que también alertó a Microsoft, afirma que la explotación de estos defectos comenzó el 3 de enero. Suponiendo que estas fechas sean precisas, estos dos equipos de investigación descubrieron los errores de forma independiente o la información fue obtenida por un pirata informático, dijo ESET.

VER: Microsoft: los piratas informáticos están utilizando estas fallas de día cero de Trade Server, así que actualice ahora (ZDNet)

Como parte de los ataques, los piratas informáticos han podido controlar los servidores comprometidos a través de webshells, código malicioso que les da acceso administrativo remoto. En los últimos días, ESET ha encontrado 5,000 servidores Exchange únicos en más de 115 países donde se detectaron webshells. Y este número incluye solo los servidores en los que están instalados los productos ESET.

Actividad APT

Los siguientes son algunos de los grupos APT o actividades descubiertos por ESET que han instalado o están aprovechando webshells en organizaciones victimizadas.

Garrapata. Un grupo APT activo desde 2008, Tick se dirige a organizaciones en Japón, pero también a Corea del Sur, Rusia y Singapur, con el objetivo de robar propiedad intelectual e información clasificada. El 28 de febrero, Tick (también conocido como Bronze Butler) pirateó el servidor Exchange de una empresa de TI en el este de Asia, lo que significa que aprovechó las vulnerabilidades antes de que Microsoft las parcheara.

LuckyMouse. También conocido como APT27 y Emissary Panda, LuckyMouse es un grupo de APT que ha violado las redes gubernamentales en Asia Central y Medio Oriente. El 1 de marzo, este grupo comprometió el servidor Trade de un departamento gubernamental en el Medio Oriente, otro incidente que ocurrió antes de que se publicaran los parches.

Calipso. Calypso, un grupo de ciberespionaje dirigido a agencias gubernamentales en Asia Central, Oriente Medio, América del Sur y Asia, hackeó los servidores Trade de grupos gubernamentales en Oriente Medio y América del Sur el 1 de marzo. Posteriormente, el grupo apuntó a servidores adicionales tanto en el público. y sectores privados en África, Asia y Europa.

Websiic. El 1 de marzo, un grupo de actividades denominado Websiic por ESET apuntó a siete servidores Exchange en empresas privadas de los sectores de TI, telecomunicaciones e ingeniería. Las empresas estaban ubicadas en Asia y Europa del Este, mientras que la fecha indica que los atacantes tuvieron acceso al exploit antes de que se lanzaran los parches.

Grupo Winnti. Activo desde al menos 2012, Winnti Team ha llevado a cabo ataques de alto perfil a la cadena de suministro contra las industrias de los videojuegos y el software. A partir del 2 de marzo, el grupo (también conocido como BARIUM o APT41) comprometió los servidores Exchange de una empresa petrolera y una empresa de equipos de construcción, ambas con sede en el este de Asia.

Equipo Tonto. Un grupo de APT que existe desde al menos 2009, Tonto Team (también conocido como CactusPete) generalmente se dirige a gobiernos e instituciones con sede en Rusia, Japón y Mongolia. El 3 de marzo, este grupo comprometió los servidores Exchange de una empresa de aprovisionamiento y una empresa consultora dedicada al desarrollo de program y ciberseguridad, ambas ubicadas en Europa del Este.

Actividad de ShadowPad no atribuida. ShadowPad es una puerta trasera modular que period exclusiva de Winnti Group hasta finales de 2019, pero ahora es utilizada por al menos cinco grupos adicionales: Tick, Tonto Staff, KeyBoy, IceFog y TA428, según ESET. El 3 de marzo, esta puerta trasera comprometió los servidores de Trade en una empresa de desarrollo de computer software en el este de Asia y una empresa de bienes raíces en el Medio Oriente.

Huelga de cobalto «Opera». El 3 de marzo, unas horas después de que Microsoft lanzara sus parches, ESET descubrió otro lote de actividades maliciosas que hasta ahora no puede vincular a ningún grupo que ya se esté rastreando. Desde el 3 de marzo hasta el 5 de marzo, estas actividades afectaron a unos 650 servidores, principalmente en los EE. UU., Alemania, el Reino Unido y otros países europeos. Dado el momento de estos ataques, ESET dijo que no está seguro si los piratas informáticos tuvieron acceso al exploit de antemano o realizaron ingeniería inversa a los parches.

Puertas traseras de IIS. El 3 de marzo, se utilizaron webshells para instalar puertas traseras en IIS (Net Data Expert services) en cuatro servidores de correo electrónico en Asia y América del Sur.

Mikroceen. Mikroceen (también conocido como Vicious Panda), un grupo de APT que existe desde al menos 2017, se dirige principalmente a instituciones gubernamentales y empresas de telecomunicaciones en Asia Central, Rusia y Mongolia. El 4 de marzo, este grupo atacó el servidor Trade de una empresa de servicios públicos en Asia Central.

DLTMiner. DLTMiner es una operación de criptominería maliciosa que afecta principalmente a empresas de Asia. A partir del 5 de marzo, esta campaña implementó varios descargadores de PowerShell en varios servidores de Exchange que anteriormente habían sido atacados por las fallas de Exchange.

«Nuestra investigación en curso muestra que no solo Hafnium ha estado usando la vulnerabilidad RCE reciente en Trade, sino que múltiples APT tienen acceso al exploit, y algunos incluso lo hicieron antes del lanzamiento del parche», dijo ESET en su informe. «Aún no está claro cómo ocurrió la distribución del exploit, pero es inescapable que más y más actores de amenazas, incluidos los operadores de ransomware, tengan acceso a él tarde o temprano».

Recomendaciones

Primero, todas las organizaciones con Servidores de intercambio deben parchear sus sistemas lo antes posible. Puede descargar los parches para Trade Server 2019, 2016 y 2013 desde Sitio de soporte de Microsoft. Microsoft también ofrece una entrada de web site que explain el proceso de actualización y un página para actualizaciones acumulativas anteriores de Trade Server.

Incluso las organizaciones con servidores Trade que no estén directamente expuestos a World wide web deberían aplicar los parches, aconsejó ESET. Esto se debe a que un atacante con acceso bajo o sin privilegios a su pink puede explotar estas vulnerabilidades para aumentar sus privilegios mientras compromete un servidor Exchange interno y luego moverse lateralmente desde él.

Microsoft recomienda otras dos acciones: Verifique sus niveles de parche de Exchange Server y escanee sus archivos de registro de Exchange en busca de indicadores de compromiso. Un script de Microsoft puede escanear automáticamente sus servidores Exchange en busca de IOC. Si detecta que su servidor Trade se ha visto comprometido, debe eliminar los webshells, cambiar las credenciales de inicio de sesión y luego investigar cualquier actividad maliciosa adicional.

Por último, ESET recomienda que las aplicaciones complejas como Microsoft Trade o SharePoint no estén abiertas a Web. Con un exploit público masivo, le resultará difícil, si no imposible, parchear sus sistemas a tiempo.

Ver también





Enlace a la noticia original