Servidores de intercambio bajo asedio de al menos 10 grupos APT


ESET Research descubrió que LuckyMouse, Tick, Winnti Group y Calypso, entre otros, probablemente estén utilizando las vulnerabilidades recientes de Microsoft Exchange para comprometer los servidores de correo electrónico de todo el mundo.

El 2 de marzo de 2021, Microsoft lanzó parches fuera de banda para Microsoft Exchange Server 2013, 2016 y 2019. Estas actualizaciones de seguridad corrigieron una cadena de vulnerabilidad de ejecución remota de código (RCE) de autenticación previa (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021- 27065) que permite a un atacante hacerse cargo de cualquier servidor Exchange accesible, sin siquiera conocer las credenciales de cuenta válidas. Ya hemos detectado webshells en más de 5.000 servidores de correo electrónico al momento de escribir este artículo y, según fuentes públicas, varias organizaciones importantes, como la Autoridad Bancaria Europea, sufrió este ataque.

Estas vulnerabilidades fueron descubiertas por primera vez por Tsai naranja, un conocido investigador de vulnerabilidades, que los informó a Microsoft el 2021-01-05. Sin embargo, según una publicación de blog de Volexity, la explotación en estado salvaje ya había comenzado el 2021-01-03. Por lo tanto, si estas fechas son correctas, las vulnerabilidades fueron descubiertas de forma independiente por dos equipos de investigación de vulnerabilidades diferentes o esa información sobre las vulnerabilidades fue obtenida de alguna manera por una entidad malintencionada. Microsoft también publicó una entrada de blog sobre las primeras actividades de Hafnium.

El 28 de febrero de 2021, notamos que las vulnerabilidades fueron utilizadas por otros actores de amenazas, comenzando con Tick y rápidamente se unieron LuckyMouse, Calypso y Winnti Group. Esto sugiere que varios actores de amenazas obtuvieron acceso a los detalles de las vulnerabilidades antes del lanzamiento del parche, lo que significa que podemos descartar la posibilidad de que hayan creado un exploit mediante la ingeniería inversa de las actualizaciones de Microsoft.

Finalmente, el día después del lanzamiento del parche, comenzamos a ver muchos más actores de amenazas (incluidos Tonto Team y Mikroceen) escaneando y comprometiendo servidores Exchange en masa. Curiosamente, todos ellos son grupos APT interesados ​​en el espionaje, excepto un caso atípico (DLTMiner), que está vinculado a una conocida campaña de criptominería. En la Figura 1 se muestra un resumen de la línea de tiempo.

Figura 1. Cronología de eventos importantes

Estadísticas de explotación

Durante los últimos días, los investigadores de ESET han estado monitoreando de cerca la cantidad de detecciones de webshell para estos exploits. En la fecha de publicación, habíamos observado más de 5,000 servidores únicos en más de 115 países donde se marcaron los webshells. Estos números utilizan telemetría de ESET y (obviamente) no están completos. La Figura 2 ilustra estas detecciones antes y después del parche de Microsoft.

Figura 2. Detección de ESET de los webshells descartados a través de CVE-2021-26855 (cada hora)

El mapa de calor de la Figura 3 muestra la distribución geográfica de las detecciones de webshell, según la telemetría de ESET. Debido a la explotación masiva, es probable que represente la distribución de servidores Exchange vulnerables en todo el mundo en los que están instalados los productos de seguridad de ESET.

Figura 3. Proporción de detecciones de webshell por país (2021-02-28 a 2021-03-09)

De RCE a webshells a puertas traseras

Hemos identificado más de 10 actores de amenazas diferentes que probablemente aprovecharon el reciente Microsoft Exchange RCE para instalar implantes en los servidores de correo electrónico de las víctimas.

Nuestro análisis se basa en servidores de correo electrónico en los que encontramos webshells en archivos de configuración de la libreta de direcciones sin conexión (OAB), que es una técnica específica utilizada en la explotación de la vulnerabilidad RCE y que ya se ha detallado en un Publicación de blog de la unidad 42. Desafortunadamente, no podemos descartar la posibilidad de que algunos actores de amenazas hayan secuestrado los webshells lanzados por otros grupos en lugar de usar directamente el exploit.

Una vez que se aprovechó la vulnerabilidad y se instaló el webshell, observamos intentos de instalar malware adicional a través de él. También notamos en algunos casos que varios actores de amenazas apuntaban a la misma organización.

Garrapata

El 28 de febrero de 2021, Tick (también conocido como Bronze Butler) comprometió el servidor web de una empresa con sede en el este de Asia que proporciona servicios de TI. Esto significa que el grupo probablemente tuvo acceso al exploit antes del lanzamiento del parche, en este caso al menos dos días antes.

El atacante usó el siguiente nombre para el webshell de la primera etapa:

C: inetpub wwwroot aspnet_client aspnet.aspx

Luego observamos una puerta trasera de Delphi, muy similar a implantes Delphi anteriores utilizado por el grupo. Las direcciones C&C utilizadas por esta puerta trasera son www.averyspace (.) net y www.komdsecko (.) net.

Tick ​​es un grupo APT activo desde 2008 y dirigido a organizaciones con sede principalmente en Japón, pero también en Corea del Sur, Rusia y Singapur, entre otras. Su principal objetivo parece ser la propiedad intelectual y el robo de información clasificada. Hace uso de varios programas maliciosos patentados como Daserf, xxmm y Datper, así como de RAT de código abierto como Lilith. Tick ​​se encuentra entre los grupos APT que ahora tienen acceso a la puerta trasera ShadowPad, que se utilizó durante Operación ENTRADE documentada por Trend Micro.

LuckyMouse

El 2021-03-01, LuckyMouse comprometió el servidor de correo electrónico de una entidad gubernamental en el Medio Oriente, lo que significa que este grupo APT probablemente tuvo acceso al exploit al menos un día antes del lanzamiento del parche, cuando todavía era un día cero.

Los operadores de LuckyMouse comenzaron dejando caer el Herramienta nbtscan en C: programdata , luego instaló una variante del ReGeorg webshell y emitió una solicitud GET a http: //34.90.207 (.) 23 / ip usando rizo. Finalmente, intentaron instalar su SysUpdate (también conocido como Soldier) puerta trasera modular que utiliza la dirección IP antes mencionada como su servidor C&C.

LuckyMouse, también conocido como APT27 y Emissary Panda, es un grupo de ciberespionaje conocido por haber violado múltiples redes gubernamentales en Asia Central y Medio Oriente, pero también organizaciones transnacionales como Organización de Aviación Civil Internacional (OACI) en 2016. Utiliza varias familias de malware personalizadas, como HyperBro y SysUpdate.

Calipso

El 2021-03-01, Calipso comprometió los servidores de correo electrónico de entidades gubernamentales en el Medio Oriente y en América del Sur, lo que significa que el grupo probablemente tuvo acceso al exploit como un día cero, como LuckyMouse y Tick. En los días siguientes, los operadores de Calypso apuntaron a servidores adicionales de entidades gubernamentales y empresas privadas en África, Asia y Europa utilizando el exploit.

El atacante usó los siguientes nombres para el webshell de la primera etapa:

  • C: inetpub wwwroot aspnet_client client.aspx
  • C: inetpub wwwroot aspnet_client discover.aspx

Como parte de estos ataques, se observaron dos puertas traseras diferentes: una variante de PlugX específica del grupo (Win32 / Korplug.ED) y una puerta trasera personalizada que detectamos como Win32 / Agent.UFX (conocida como Whitebird en un Informe Dr.Web). Estas herramientas se cargan mediante el secuestro del orden de búsqueda de DLL contra ejecutables legítimos (también descartados por los atacantes):

  • netcfg.exe (SHA-1: 1349EF10BDD4FE58D6014C1043CBBC2E3BB19CC5) usando una DLL maliciosa llamada netcfg.dll (SHA-1: EB8D39CE08B32A07B7D847F6C29F4471CD8264F2)
  • CLNTCON.exe (SHA-1: B423BEA76F996BF2F69DCC9E75097635D7B7A7AA) usando una DLL maliciosa llamada SRVCON.OCX (SHA-1: 30DD3076EC9ABB13C15053234C436406B88FB2B9)
  • iPAQDetetion2.exe (SHA-1: C5D8FEC2C34572F5F2BD4F6B04B75E973FDFEA32) usando una DLL maliciosa llamada rapi.dll (SHA-1: 4F0EA31A363CFE0D2BBB4A0B4C5D558A87D8683E)

Las puertas traseras se configuraron para conectarse a los mismos servidores C&C: yolkish (.) com y rawfuns (.) com.

Finalmente, también observamos una variante de una herramienta conocida como Mimikat_ssp que está disponible en GitHub.

Calipso (que también está ligado a XPATH) es un grupo de ciberespionaje dirigido a instituciones gubernamentales de Asia Central, Oriente Medio, América del Sur y Asia. Su principal implante es una variante del PlugX RAT.

Websiic

A partir del 1 de marzo de 2021, los investigadores de ESET observaron un nuevo grupo de actividades que hemos denominado Websiic, dirigido a siete servidores de correo electrónico que pertenecen a empresas privadas (en los dominios de TI, telecomunicaciones e ingeniería) en Asia y un organismo gubernamental en Europa del Este. Como se observó en los casos anteriores, los operadores detrás de este clúster probablemente tuvieron acceso al exploit antes del lanzamiento del parche.

Este grupo fue identificado por la presencia de un cargador como su primera etapa, generalmente llamado google.log o google.aspx, y un archivo de configuración encriptado, generalmente llamado access.log. El cargador detiene un servicio específico identificado en la configuración y crea una nueva entrada en el registro de servicios de Windows HKLM SYSTEM CurrentControlSet Services Parámetros (el nombre de archivo del servicio lo proporciona la configuración). Establece dos claves ServiceDll y Servicio Principal. El primero contiene la ruta a una DLL, mientras que el segundo contiene la exportación para llamar (EN ESO en este caso). Finalmente, reinicia el servicio que se detuvo al principio.

Si bien el cargador se desplegó sobre todas las víctimas de este grupo, la segunda etapa (también un cargador) se observó en la computadora de solo una de las víctimas y se ubicó en C: Archivos de programa Archivos comunes microsoft shared WMI iiswmi.dll. La DLL tiene una exportación denominada EN ESO que contiene la lógica principal y utiliza el mismo bucle de cifrado XOR, así como la misma técnica para resolver dinámicamente los nombres de la API de Windows como se vio en la primera etapa. Carga la siguiente DLL % COMMONPROGRAMFILES% System websvc.dll con un argumento extraído de la clave de registro HKLM SOFTWARE Classes Interface 6FD0637B-85C6-D3A9-CCE9-65A3F73ADED9. Desafortunadamente, la falta de indicadores que coincidan con los actores de amenazas previamente conocidos nos impide sacar conclusiones o hipótesis razonables sobre el grupo detrás de estos ataques.

Siete víctimas fueron señaladas por la presencia del primer cargador y en una de ellas se identificó el segundo cargador. Actualmente, no hemos vinculado a ningún actor de amenazas conocido con Websiic. Un artículo reciente de GTSC también describe brevemente el mismo grupo.

Grupo Winnti

A partir del 2 de marzo de 2021, unas horas antes de que Microsoft lanzara el parche, el Grupo Winnti (también conocido como BARIUM o APT41) comprometió los servidores de correo electrónico de una empresa petrolera y una empresa de equipos de construcción, ambas con sede en el este de Asia. Esto indica que este grupo de APT también tuvo acceso al exploit antes del lanzamiento del parche.

Los atacantes comenzaron lanzando conchas web en las siguientes ubicaciones, según la víctima:

  • C: inetpub wwwroot aspnet_client caches.aspx
  • C: inetpub wwwroot aspnet_client shell.aspx

En una de las víctimas comprometidas, observamos una muestra de PlugX RAT (también conocida como Korplug) con dominio C&C mm.portomnail (.) com y back.rooter.tk. Tenga en cuenta que mm.portomnail (.) com estaba utilizado anteriormente por el Grupo Winnti con ShadowPad y el malware Winnti. En la misma máquina, durante el mismo período de tiempo, también observamos algunos malware, aún no analizados por completo, utilizando 139.162.123 (.) 108 como su dirección de C&C, pero al momento de escribir este artículo no sabemos si esto está relacionado con el compromiso de Exchange o no.

En la segunda víctima, observamos un cargador que es muy similar a los cargadores de malware anteriores de Winnti v4, como el mencionado en nuestro informe técnico sobre el arsenal del Grupo Winnti. Al igual que el cargador Winnti v4, este cargador se utiliza para descifrar una carga útil cifrada del disco y ejecutarla con el siguiente comando:

srv64.exe

dónde es la clave de descifrado que se utiliza para descifrar la carga útil almacenada en . Una vez ejecutado, este cargador suelta una DLL maliciosa en la siguiente ubicación:

C: Windows system32 oci.dll

Esta DLL maliciosa comparte múltiples similitudes con un implante de Winnti anterior documentado por Trend Micro así como la puerta trasera de Spyder recientemente documentado por DrWeb y que hemos observado que el Grupo Winnti lo utiliza en el pasado. La dirección C&C utilizada por este implante es 161.129.64 (.) 124: 443.

Además, observamos varias herramientas de volcado de contraseñas y Mimikatz.

los Grupo Winnti, activo desde al menos 2012, es responsable de ataques de cadena de suministro de alto perfil contra las industrias de videojuegos y software, lo que lleva a la distribución de software troyanizado (como CCleaner, ASUS LiveUpdate y múltiples videojuegos) que luego se utiliza para comprometer a más víctimas. También es conocido por haber comprometido varios objetivos en múltiples verticales diferentes, como la atención médica y la educación.

Equipo Tonto

El 2021-03-03, Tonto Team (también conocido como CactusPete) comprometió los servidores de correo electrónico de una empresa de adquisiciones y de una empresa consultora especializada en desarrollo de software y ciberseguridad, ambas con sede en Europa del Este.

En ese caso, el atacante utilizó C: inetpub wwwroot aspnet_client dukybySSSS.aspx para el webshell de primera etapa.

Luego, el atacante usó PowerShell para descargar sus cargas útiles desde 77.83.159 (.) 15. Esas cargas útiles consisten en un ejecutable de Microsoft legítimo y firmado que se utiliza como host de secuestro de orden de búsqueda de DLL y un DLL malicioso cargado por ese ejecutable. La DLL maliciosa es un cargador de ShadowPad. La dirección C&C que utiliza ShadowPad aquí es lab.symantecsafe (.) org y el protocolo de comunicación es HTTPS.

Además de ShadowPad, el atacante también hizo uso de una variante de Bisonal RAT muy similar a una variante de Bisonal que se usó anteriormente durante Operación Bitter Biscuit atribuida al equipo Tonto.

En una de las máquinas comprometidas, el atacante usó un dumper LSAS que también fue utilizado anteriormente por Tonto Team.

Tonto Team es un grupo APT activo desde al menos 2009 y dirigido a gobiernos e instituciones con sede principalmente en Rusia, Japón y Mongolia. Durante más de diez años, Tonto Team ha estado utilizando Bisonal RAT. Tonto Team es uno de los grupos APT que ahora tiene acceso a la puerta trasera ShadowPad.

Actividad de ShadowPad no atribuida

A partir de 2021-03-03, observamos el compromiso de los servidores de correo electrónico en una empresa de desarrollo de software con sede en el este de Asia y una empresa de bienes raíces con sede en el Medio Oriente, donde el atacante dejó caer ShadowPad y no pudimos atribuirlo de manera concluyente. cualquier grupo conocido en el momento de escribir este artículo.

Los atacantes utilizaron C: inetpub wwwroot aspnet_client discover.aspx y C: Archivos de programa Microsoft Exchange Server V15 FrontEnd HttpProxy owa auth RedirSuiteServerProxy.aspx como webshells de primera etapa y dejó caer ShadowPad en las siguientes ubicaciones:

  • C: Windows Help mui 0109 mscoree.dll
  • C: mscoree.dll

Uno de los ejemplos de ShadowPad utiliza soft.mssysinfo (.) xyz como su dirección C&C usando el protocolo HTTPS mientras que la segunda muestra usa ns.rtechs (.) org utilizando el protocolo DNS, que es menos común.

La puerta trasera ShadowPad es una puerta trasera modular que fue exclusiva de Winnti Group hasta finales de 2019. Hasta donde sabemos, ShadowPad ahora es utilizado por al menos cinco grupos adicionales: Tick, Tonto Team, KeyBoy, IceFog y TA428.

La huelga de cobalto de la "ópera"

El 03/03/2021 a las 04:23 a.m. UTC, solo unas horas después del lanzamiento del parche, notamos que había comenzado otro conjunto de actividades maliciosas. En este punto, no sabemos si estos actores de amenazas tuvieron acceso al exploit de antemano o si hicieron ingeniería inversa al parche. Corresponde a los indicadores que se publicaron el Gorjeo y por FireEye, pero no hemos podido vincular este conjunto a ningún grupo del que ya estemos realizando un seguimiento.

Desde el 3 de marzo de 2021 hasta el 5 de marzo de 2021, la telemetría de ESET muestra esta actividad dirigida a alrededor de 650 servidores, principalmente en los EE. UU., Alemania, el Reino Unido y otros países europeos. Curiosamente, este actor de amenazas fue consistente en el nombre y la ubicación de su webshell de primera etapa, siempre usando FrontEnd HttpProxy owa auth RedirSuiteServerProxy.aspx.

Luego, en algunas máquinas seleccionadas, ejecutaron un script de PowerShell, que se muestra en la Figura 4, para descargar componentes adicionales de 86.105.18 (.) 116. La carga útil final es Cobalt Strike, que usa la misma dirección IP para su servidor C&C. Cobalt Strike se carga a través del secuestro de orden de búsqueda DLL contra un ejecutable legítimo de Opera llamado opera_browser.exe (SHA-1: AB5AAA34200A3DD2276A20102AB9D7596FDB9A83) usando una DLL llamada opera_browser.dll (SHA-1: 02886F9DAA13F7D9855855048C54F1D6B1231B0A) que descifra y carga un shellcode de opera_browser.png (SHA-1: 2886F9DAA13F7D9855855048C54F1D6B1231B0A). Notamos que 89.34.111 (.) 11 también se utilizó para distribuir archivos maliciosos.

Figura 4. Script de PowerShell utilizado para descargar Cobalt Strike

Puertas traseras de IIS

A partir de 2021-03-03, observamos que en cuatro servidores de correo electrónico ubicados en Asia y América del Sur, se utilizaron webshells para instalar las llamadas puertas traseras IIS.

Identificamos dos familias de malware diferentes:

  • Una versión modificada de IIS-Raid. Proviene de una PoC lanzada el GitHub y documentado el año pasado por MDSec.
  • Una variante de Owlproxy, que fue documentada el año pasado por Cycraft como parte de varios incidentes contra agencias gubernamentales taiwanesas.

Mikroceen

El 2021-03-04, el Mikroceen APT el grupo comprometió el servidor Exchange de una empresa de servicios públicos en Asia Central, que es la región a la que se dirige principalmente.

Los operadores de Mikroceen comenzaron colocando webshells en C: inetpub wwwroot aspnet_client aspnet_regiis.aspx, FrontEnd HttpProxy owa auth aspnet_error.aspx y C: inetpub wwwroot aspnet_client log_error_9e23efc3.aspx. Luego, descargaron una carga útil de la que no pudimos recuperarnos. http: //46.30.188 (.) 60 / webengine4.dll. No pudimos vincular esos primeros pasos a Mikroceen con mucha confianza, pero estos indicadores aparecieron solo en el servidor específico donde vimos las puertas traseras de Mikroceen unas horas después.

Unas horas más tarde, se colocó una RAT Mikroceen en C: Usuarios Público Descargas service.exe. Su servidor C&C es 172.105.18 (.) 72. Luego, esta RAT dejó caer herramientas adicionales como Mimikatz (en C: usuarios public alg.exe), Mimikat_ssp (en C: usuarios public Dump.exe) y un proxy personalizado (en c: Usuarios Público calcx.exe). Este último se ejecutó con la siguiente línea de comando (exponiendo otra dirección IP controlada por el atacante):

calcx.exe 300194.68.44 (.) 19 c: usuarios public 1.log : 3128

los Grupo APT Mikroceen (también conocido como Panda vicioso) es un actor de amenazas que opera desde al menos 2017. Se dirige principalmente a instituciones gubernamentales y empresas de telecomunicaciones en Asia Central, Rusia y Mongolia. Utiliza una puerta trasera personalizada que hemos llamado Mikroceen RAT.

DLTMiner

A partir de 2021-03-05 a las 02:53 a.m. UTC, detectamos la implementación de descargadores de PowerShell en varios servidores de correo electrónico que anteriormente eran atacados con estas vulnerabilidades de Exchange.

El primer script de PowerShell descarga la siguiente etapa en la siguiente dirección http: //p.estonine (.) com / p? e. Los artículos anteriores de 2019 muestran similitudes entre este clúster y una campaña de criptomineros. Se pueden encontrar más detalles sobre el análisis en Tencent y Negro carbón publicaciones de blog. Una mas reciente Gorjeo La publicación describe los diversos pasos de compromiso.

No pudimos encontrar ninguna correlación en términos de webshells implementados en estos servidores. Es posible que este grupo esté secuestrando webshells previamente instalados por otros grupos de amenazas.

Resumen

Nuestra investigación en curso muestra que no solo Hafnium ha estado usando la vulnerabilidad RCE reciente en Exchange, sino que múltiples APT tienen acceso al exploit, y algunos incluso lo hicieron antes del lanzamiento del parche. Aún no está claro cómo ocurrió la distribución del exploit, pero es inevitable que más y más actores de amenazas, incluidos los operadores de ransomware, tengan acceso a él tarde o temprano.

Ahora está claramente más allá del horario de máxima audiencia para parchear todos los servidores de Exchange lo antes posible (consulte Orientación de Microsoft y tenga especial cuidado al seguir los pasos de la sección "Acerca de la instalación de estas actualizaciones"). Incluso aquellos que no están directamente expuestos a Internet deben recibir un parche porque un atacante con acceso bajo o sin privilegios a su LAN puede explotar trivialmente estas vulnerabilidades para aumentar sus privilegios mientras compromete un servidor de Exchange interno (y probablemente más sensible) y luego moverse lateralmente de eso.

En caso de compromiso, se deben eliminar los webshells, cambiar las credenciales e investigar cualquier actividad maliciosa adicional.

Finalmente, este es un muy buen recordatorio de que las aplicaciones complejas como Microsoft Exchange o SharePoint no deberían estar abiertas a Internet ya que, en caso de explotación masiva, es muy difícil, si no imposible, parchear a tiempo.

Para cualquier consulta, o para hacer presentaciones de muestra relacionadas con el tema, contáctenos en: Threatintel@eset.com.

Indicadores de compromiso (IoC)

Se puede encontrar una lista en texto plano de indicadores de compromiso (IoC) y un evento de MISP en nuestro repositorio de GitHub.

Webshells

ESET detecta las webshells utilizadas en estos ataques como JS / Exploit.CVE-2021-26855.Webshell.A y JS / Exploit.CVE-2021-26855.Webshell.B.

Las carcasas web ASPX se colocan normalmente en estas carpetas, utilizando una gran variedad de nombres de archivo:

  • C: inetpub wwwroot aspnet_client system_web
  • FrontEnd HttpProxy owa auth Current themes resources
  • FrontEnd HttpProxy owa auth

Archivos de malware

SHA-1 Nombre de detección de ESET Detalles
30DD3076EC9ABB13C15053234C436406B88FB2B9 Win32 / Korplug.RT Cargador Calypso para Win32 / Korplug.ED
EB8D39CE08B32A07B7D847F6C29F4471CD8264F2 Win32 / Korplug.RU Cargador Calypso para Win32 / Korplug.ED
4F0EA31A363CFE0D2BBB4A0B4C5D558A87D8683E Win32 / Agent.ACUS Cargador Calypso para Win32 / Agent.UFX
2075D8E39B7D389F92FD97D97C41939F64822361 Win64 / HackTool.Mimikat.A Mimikat_ssp utilizado por Calypso
02886F9DAA13F7D9855855048C54F1D6B1231B0A Win32 / Agent.ACUQ Cargador Opera Cobalt Strike
123CF9013FA73C4E1F8F68905630C8B5B481FCE7 Win64 / Mikroceen.AN Mikroceen RAT
B873C80562A0D4C3D0F8507B7B8EC82C4DF9FB07 Win64 / HackTool.Mimikat.A Mimikat_ssp utilizado por Mikroceen
59C507BCBEFCA2E894471EFBCD40B5AAD5BC4AC8 Win32 / HackTool.Proxy.A Proxy utilizado por Mikroceen
3D5D32A62F770608B6567EC5D18424C24C3F5798 Win64 / Kryptik.CHN Puerta trasera ShadowPad utilizada por Tonto Team
AF421B1F5A08499E130D24F448F6D79F7C76AF2B Win64 / Riskware.LsassDumper.J Dumper LSASS utilizado por Tonto Team
1DE8CBBF399CBC668B6DD6927CFEE06A7281CDA4 Win32 / Agent.ACGZ Inyector PlugX utilizado por Winnti Group
B8D7B850DC185160A24A3EE43606A9EF41D60E80 Win64 / Winnti.DA Cargador Winnti
33C7C049967F21DA0F1431A2D134F4F1DE9EC27E Win64 / HackTool.Mimikat.A Mimikatz utilizado por Winnti Group
A0B86104E2D00B3E52BDA5808CCEED9842CE2CEA Win64 / HackTool.Mimikat.A Mimikatz utilizado por Winnti Group
281FA52B967B08DBC1B51BAFBFBF7A258FF12E54 Win32 / PSWTool.QuarksPwDump.E Dumper de contraseñas utilizado por Winnti Group
46F44B1760FF1DBAB6AAD44DEB1D68BEE0E714EA Win64 / Shadowpad.E ShadowPad no atribuido
195FC90AEE3917C94730888986E34A195C12EA78 Win64 / Shadowpad.E ShadowPad no atribuido
29D8DEDCF19A8691B4A3839B805730DDA9D0B87C PowerShell / TrojanDownloader.Agent.CEK DLTMiner
20546C5A38191D1080B4EE8ADF1E54876BEDFB9E PowerShell / TrojanDownloader.Agent.CEK DLTMiner
84F4AEAB426CE01334FD2DA3A11D981F6D9DCABB Win64 / Agent.AKS Websiic
9AFA2AFB838CAF2748D09D013D8004809D48D3E4 Win64 / Agent.AKS Websiic
3ED18FBE06D6EF2C8332DB70A3221A00F7251D55 Win64 / Agent.AKT Websiic
AA9BA493CB9E9FA6F9599C513EDBCBEE84ECECD6 Win64 / Agent.IG Piso trasero de IIS

Servidores C&C

Dirección IP / dominio Detalles
34.90.207 (.) 23 Servidor LuckyMouse SysUpdate C&C
yolkish (.) com Servidor Calypso C&C
rawfuns (.) com Servidor Calypso C&C
86.105.18 (.) 116 Servidor de distribución y C&C “Opera Cobalt Strike”
89.34.111 (.) 11 Servidor de distribución "Opera Cobalt Strike"
172.105.18 (.) 72 Servidor Mikroceen RAT C&C
194.68.44 (.) 19 Servidor C&C proxy Mikroceen
www.averyspace (.) net Marque el servidor C&C de puerta trasera de Delphi
www.komdsecko (.) net Marque el servidor C&C de puerta trasera de Delphi
77.83.159 (.) 15 Servidor de distribución de Tonto Team
lab.symantecsafe (.) org Servidor Tonto Team ShadowPad C&C
mm.portomnail (.) com Servidor Winnti Group PlugX C&C
back.rooter (.) tk Servidor Winnti Group PlugX C&C
161.129.64 (.) 124 Servidor C&C de malware Winnti
ns.rtechs (.) org Servidor ShadowPad C&C sin clasificar
soft.mssysinfo (.) xyz Servidor ShadowPad C&C sin clasificar
p.estonine (.) com Servidor DLTMiner C&C

Técnicas MITRE ATT & CK

Nota 1: esta tabla fue construida usando versión 8 del marco MITRE ATT & CK.

Nota 2: esta tabla incluye técnicas que cubren la explotación de la vulnerabilidad y la implementación del webshell.

Táctica IDENTIFICACIÓN Nombre Descripción
Reconocimiento T1595 Escaneo activo Los atacantes están escaneando Internet para encontrar servidores de Microsoft Exchange vulnerables.
Desarrollo de recursos T1587.004 Desarrollar capacidades: exploits Los atacantes desarrollaron o adquirieron exploits para CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065.
Acceso inicial T1190 Aprovechar la aplicación de cara al público Los atacantes aprovecharon las vulnerabilidades en Microsoft Exchange 2013, 2016 y 2019 (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065) para afianzarse en los servidores de correo electrónico.
Ejecución T1203 Explotación para la ejecución del cliente Los atacantes aprovecharon las vulnerabilidades en Microsoft Exchange 2013, 2016 y 2019 (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065) para colocar un webshell ASPX en los servidores de correo electrónico comprometidos.
Persistencia T1505.003 Componente de software del servidor: Web Shell Los atacantes instalaron webshells ASPX de China Chopper en carpetas IIS o Exchange accesibles desde Internet.





Enlace a la noticia original