Múltiples grupos de ataque explotados Microsoft Trade …



Los investigadores han detectado a varios grupos que explotan las vulnerabilidades del servidor Trade de día cero.

Múltiples grupos de ataque están explotando las vulnerabilidades críticas de Microsoft Exchange Server parcheadas la semana pasada, y la creciente ola de actividad world wide comenzó antes de que Microsoft lanzara soluciones de emergencia el 2 de marzo.

Empresas de seguridad como Purple Canary y FireEye ahora están rastreando la actividad de explotación en clústeres y anticipan que el número de clústeres crecerá con el tiempo. Los investigadores de ESET han detectado al menos diez grupos de APT que utilizan las fallas críticas para apuntar a los servidores de Trade.

Cuando se utilizan en una cadena de ataque, las vulnerabilidades de estas vulnerabilidades podrían permitir a un atacante autenticarse como servidor de Trade e implementar un shell world-wide-web para poder controlar de forma remota el servidor de destino. Cuando Microsoft lanzó parches para los cuatro servidores de Exchange de día cero, atribuyó la actividad con gran confianza a un grupo patrocinado por el estado chino llamado Hafnium.

Ahora, a medida que los investigadores observan shells world wide web derivados de la sospecha de explotación de Exchange, creen que muchos más grupos son responsables del crecimiento de la actividad de los ataques. En una publicación de website publicada el 9 de marzo, los analistas de Purple Canary informan que ninguno de los grupos que observan se superpone significativamente con el grupo que Microsoft llama Hafnium como resultado, ahora están rastreando estos grupos por separado.

«No sabemos quién está detrás de estos grupos, no estamos seguros de si son los mismos adversarios trabajando juntos o diferentes adversarios por completo», escriben los investigadores. «Nos estamos enfocando estrictamente en lo que observamos en los servidores de las víctimas para nuestro agrupamiento». Señalan que quieren «superposiciones significativas» en múltiples puntos de datos únicos para clasificar la actividad de los atacantes como un clúster.

Entre el 27 de febrero y el 3 de marzo, Red Canary vio un clúster en el que el shell website de China Chopper se colocó en los servidores de Trade. Los investigadores vieron más actividad entre unas horas y días después mientras que el nombre de archivo exacto del shell web era diferente, los comandos eran consistentes en múltiples víctimas. China Chopper fue probablemente el comienzo de otro grupo denominado Sapphire Pigeon.

En Sapphire Pigeon, detectado el 5 de marzo, los atacantes lanzaron múltiples proyectiles web sobre algunas víctimas en diferentes momentos, días antes de que realizaran más actividades. Cuando lo hicieron, mostraron una variedad de patrones únicos como descrito en su weblog.

Unidad 42 de Palo Alto Networks también observado diferentes patrones en los proyectiles de China Chopper Website, una puerta trasera que se ve caído en algunos de estos ataques. Los investigadores informan de dos grupos distintos de eventos el 28 de febrero y el 1 de marzo, antes de que se lanzara el parche de Microsoft. Sus datos muestran un rápido despliegue de shells world-wide-web durante el día y la noche, lo que indica un enfoque automatizado para la orientación.

También refleja una variedad de víctimas, lo que respalda la strategy de que los atacantes están utilizando el escaneo automatizado en lugar de apuntar a organizaciones o industrias específicas. La Unidad 42 informa que los objetivos incluyen firmas de banca de inversión, invernaderos de agua, instalaciones de automatización industrial, bufetes de abogados y el sector hotelero. FireEye ha identificado Minoristas con sede en EE. UU., Gobiernos locales, una universidad y una empresa de ingeniería entre las víctimas afectadas.

Los grupos APT liberan exploits en servidores Exchange

Los investigadores de ESET notaron el 28 de febrero las fallas de Exchange armadas por más de diez actores diferentes de APT, incluidos Tick, LuckyMouse y Calypso, lo que sugiere que varios atacantes conocieron los detalles de estas fallas antes de que Microsoft lanzara su parche, «lo que significa que podemos descartar la posibilidad de que crearon un exploit mediante la ingeniería inversa de las actualizaciones de Microsoft «, informan.

El informe inicial de Microsoft sobre el grupo Hafnium dice que la actividad de explotación de Exchange fue «limitada y dirigida». Y aunque parece que algunos grupos de amenazas comenzaron a apuntar a las fallas antes de que se lanzara un parche el 2 de marzo, los días siguientes vieron una avalancha de atacantes adicionales que impulsaron la actividad. Tonto Workforce, Mikroceen y Winnti Team se encontraban entre los grupos que analizaban y comprometían servidores Exchange «en masa», señalan los investigadores en un redacción de sus hallazgos.

La mayoría de estos son grupos de APT interesados ​​en el espionaje, informa ESET, con la excepción de uno vinculado a una campaña de criptominería conocida. Un grupo, llamado LuckyMouse, comprometió el servidor de correo electrónico de una entidad gubernamental en el Medio Oriente el 1 de marzo, antes del lanzamiento del parche. Al mismo tiempo, otro grupo llamado Calypso utilizó el exploit de Trade para comprometer los servidores de correo electrónico de entidades gubernamentales en el Medio Oriente y Sudamérica también apuntó a servidores de entidades gubernamentales y empresas privadas en África, Asia y Europa.

Hasta el 10 de marzo, los investigadores de ESET habían visto más de 5,000 servidores únicos en más de 115 países donde se marcaron los shells website. Una vez que se aprovechó la falla y se instaló el shell internet, vieron intentos de instalar malware adicional a través de él. En algunos casos, varios atacantes intentaban apuntar a la misma organización, señalan.

ESET, como la mayoría de las organizaciones que rastrean la amenaza, todavía está recopilando datos.

Los datos de amenazas siguen estando incompletos

Los investigadores de seguridad siguen observando la actividad de ataque al servidor Trade y publicando nueva información a medida que la aprenden. El equipo de Praetorian realizó ingeniería inversa con éxito en uno de los defectos denominados ProxyLogon (CVE-2021-26855) y desarrolló un exploit funcional de extremo a extremo.

En esta investigación, que ellos publicado con la eliminación de componentes críticos de prueba de concepto, el equipo aprendió que esta vulnerabilidad puede ser «explotada de manera confiable y consistente» y utilizada junto con otra falla para «lograr un compromiso en toda la organización».

Dicen que esto se debe a una mala configuración común de Active Directory con respecto a las rutas de permisos de Exchange, que las empresas han ignorado en gran medida porque la cadena de ataque depende de un servidor de Trade vulnerable. «La nueva vulnerabilidad de Exchange elimina esa dependencia y un atacante puede conectar en cadena estos dos problemas para expandir el compromiso del correo electrónico de una empresa a la propia empresa», escribieron en un correo electrónico a Darkish Reading through.

Kelly Sheridan es la editora de personalized de Dim Studying, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary