CISA actualiza el aviso de Microsoft Trade para incluir …



Los funcionarios estadounidenses advierten a las organizaciones de los shells de China Chopper Website a medida que nuevos datos arrojan luz sobre cómo han crecido las vulnerabilidades de Exchange Server.

Los funcionarios del gobierno de EE. UU. Han actualizado su guía sobre las fallas de Microsoft Exchange Server para incluir siete shells de China Chopper World-wide-web vinculados a ataques exitosos contra servidores vulnerables.

La Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional (CISA, por sus siglas en inglés) ha proporcionado actualizaciones continuas para mitigar las vulnerabilidades de Microsoft Exchange Server. Página world wide web desde que Microsoft lanzó actualizaciones de seguridad fuera de banda para cuatro fallas de Trade Server el 2 de marzo. En las semanas siguientes, los atacantes han comenzado a buscar y explotar las fallas en organizaciones objetivo de todo el mundo.

El 13 de marzo, CISA actualizó su guía para proporcionar siete informes de análisis de malware (MAR), cada uno de los cuales identifica un shell website de China Chopper asociado con la explotación de vulnerabilidades en los servidores Microsoft Exchange. Después de que un atacante explota con éxito un servidor de destino para obtener acceso inicial en estas intrusiones, generalmente carga un shell net para permitir la administración remota.

Los proyectiles world wide web sirven para varios propósitos en los ciberataques. Más allá de lograr la administración remota, los atacantes pueden usarlos para filtrar datos confidenciales y credenciales o cargar malware adicional para promover su actividad en la purple. Los shells world-wide-web se pueden usar para emitir comandos a los hosts dentro de la crimson sin acceso directo a World wide web, o se pueden usar como infraestructura de comando y handle, por ejemplo, como una botnet o como soporte para comprometer más redes externas.

China Chopper es un shell website ampliamente observado en estos ataques en curso por Cynet, Palo Alto Networks &#39 Unidad 42, Canario rojoy otras empresas de seguridad que observan la amenaza. Es un script ligero de una línea que ha sido utilizado por varios grupos de ataque en los últimos años.

Los investigadores de SecurityScorecard observaron dos tipos de China Chopper en estos ataques recientes, explican en una publicación de weblog. El segundo, dicen, parece indicar una evolución en las técnicas de ataque, tal vez para garantizar que el nombre del archivo no esté expuesto en el archivo de la libreta de direcciones sin conexión (OAB), para permitir que los atacantes carguen varios archivos o para que creen aleatoriamente un Nombre del archivo.

«El hecho de que China Chopper sea una herramienta utilizada por ciertos grupos (de amenazas persistentes avanzadas) y el hecho de que China Chopper se haya utilizado específicamente para atacar los servicios vulnerables de Microsoft nos lleva a creer que grupos de APT adicionales están apuntando a estas vulnerabilidades», Cynet informe de los investigadores. Ha quedado claro que varios grupos están explotando estos defectos, algunos antes de que se lanzara un parche.

CISA y algunas empresas privadas que siguen los ataques señalan que China Chopper no es el único shell web en uso. SecurityScorecard encontró otro código de shell web diseñado para verificar si las herramientas de seguridad de FireEye, CrowdStrike y Carbon Black estaban presentes en una red, una señal de que los atacantes pueden estar recolectando inteligencia para aprender sobre los entornos de destino e intentar implementar más malware.

Además de los MAR publicados durante el fin de semana, CISA también ha agregado información sobre la actividad de ransomware vinculada a la explotación de servidores Exchange vulnerables. Microsoft dijo la semana pasada que está rastreando una forma de ransomware llamado DearCry dirigido a servidores comprometidos.

Los ataques se multiplican por diez, informan los investigadores
A medida que los analistas continúan rastreando e informando sobre estos ataques, ha surgido una imagen más amplia de dónde se están explotando estas fallas y qué tan rápido está creciendo la actividad. Investigación de Verify Stage ha observado el número de intentos de ataque aumentó rápidamente de 700 el 11 de marzo de 2021 a más de 7.200 el 15 de marzo.

El país más atacado es Estados Unidos, que representa el 17% de todos los intentos de explotación, seguido de Alemania (6%), el Reino Unido (5%), los Países Bajos (5%) y Rusia (4%). El gobierno y el ejército es el sector más objetivo, con el 23% de todos los intentos, seguido de la manufactura (15%), los servicios bancarios y financieros (14%), los proveedores de software (7%) y la atención médica (6%).

No está claro cuántas organizaciones han sido blanco de estos ataques. Investigadores de ESET he detectado Shell world wide web en más de 5.000 servidores de correo electrónico al 10 de marzo Hasta ahora, las víctimas de alto perfil incluyen Parlamento noruego y el Autoridad Bancaria Europea. Algunos los informes indican hasta 30.000 organizaciones en los EE. UU. podrían verse potencialmente afectadas.

Los parches están en marcha, pero las empresas vulnerables aún tienen trabajo por hacer. En una actualización publicada el 12 de marzo, Microsoft informó alrededor de 82.000 servidores Exchange necesitan actualizarse. Esto marca una caída significativa de su recuento de más de 100,000 servidores vulnerables el 9 de marzo.

Kelly Sheridan es la editora de personal de Darkish Reading through, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first