Złośliwi aktorzy nadużywali cztery luki ujawnione w tym tygodniu w lokalnych instancjach Microsoft Exchange Server już w styczniu 2021 roku, według nowego raportu opracowanego przez badaczy FireEye Mandiant, Matta Bromileya, Chrisa DiGiamo, Andrew Thompsona i Roberta Wallace’a.
Ujawniony na początku tego tygodnia wraz z łatą poza kolejnością, wykorzystanie czterech luk, jednej ocenionej jako krytyczna i trzech średnich, zostało połączone przez firmę Microsoft z chińską grupą zaawansowanych trwałych zagrożeń (APT) znaną jako Hafnium, chociaż istnieją już liczne dowody sugerowanie wykorzystywania CVE wykracza daleko poza jedną grupę.
W raporcie Mandianta naukowcy stwierdzili, że zaobserwowali wiele przypadków nadużyć w co najmniej jednym środowisku klienckim, z zaobserwowaną aktywnością obejmującą tworzenie powłok internetowych w celu uzyskania trwałego dostępu, zdalne wykonanie kodu (RCE) i rozpoznanie rozwiązań zabezpieczających punkty końcowe z FireEye , Sadza i CrowdStrike.
„Aktywność zgłoszona przez firmę Microsoft jest zgodna z naszymi obserwacjami. FireEye obecnie śledzi tę aktywność w trzech klastrach: UNC2639, UNC2640 i UNC2643 ”- powiedzieli Bromiley, DiGiamo, Thompson i Wallace na blogu informacyjnym.
„Przewidujemy dodatkowe klastry, gdy reagujemy na włamania. Zalecamy postępowanie zgodnie ze wskazówkami firmy Microsoft i niezwłoczne zainstalowanie poprawek Exchange Server w celu złagodzenia tej aktywności ”.
Podobnie jak inni badacze, którzy śledzili wykorzystanie, zespół powiedział, że liczba ofiar była prawdopodobna znacznie wyższy niż powiedział Microsoft – określił je jako ukierunkowane i ograniczone, ale teraz jest to gorąco dyskutowane.
„Na podstawie naszych danych telemetrycznych zidentyfikowaliśmy szereg poszkodowanych ofiar, w tym sprzedawców detalicznych w USA, władze lokalne, uniwersytety i firmy inżynieryjne. Powiązane działania mogą również obejmować rząd Azji Południowo-Wschodniej i telekomunikację w Azji Środkowej ”- powiedzieli.
Zespół potwierdził ocenę firmy Microsoft dotyczącą wielu działań poeksploatacyjnych, w tym kradzieży poświadczeń, kompresji danych do eksfiltracji, używania przystawek Exchange PowerShell do kradzieży danych skrzynek pocztowych oraz innych ofensywnych narzędzi cybernetycznych, takich jak Covenant, Nishang i PowerCat do zdalnego dostęp.
„Działania, które zaobserwowaliśmy, w połączeniu z innymi działaniami w branży bezpieczeństwa informacji, wskazują, że ci aktorzy zagrożeń prawdopodobnie wykorzystują luki w oprogramowaniu Exchange Server, aby dostać się do środowisk. Po tej czynności szybko następuje dodatkowy dostęp i trwałe mechanizmy. Mamy wiele toczących się spraw i będziemy nadal dostarczać wglądu w odpowiedzi na włamania ”- powiedzieli.
W międzyczasie zaobserwowano, że więcej grup gromadzi się w ślad za Hafnem, a wiele z nich wykorzystuje China Chopper web shell, backdoor, który umożliwia złośliwym podmiotom uzyskanie zdalnej kontroli nad zaatakowanym systemem i prowadzenie dalszych działań poeksploatacyjnych. Warto zauważyć, że China Chopper zawiera interfejs GUI, który umożliwia użytkownikowi zarządzanie i kontrolowanie poleceń ataku powłoki internetowej.
Według Maxa Malyutina z Cynetwśród używających go jest Lewiatan, ściśle powiązany z APT40; Threat Group-3390, alias Emissary Panda, Bronze Union lub Iron Tiger; Soft Cell (nie duet synth-pop); i APT41. Uważa się, że wszystkie te grupy mają jakiś związek z działalnością wywodzącą się z Chin.
Gurucul Dyrektor generalny Saryu Nayyar powiedział, że trwające ataki były przypomnieniem, że pomimo stratosferycznego wzrostu wykorzystania usług w chmurze, sprzęt lokalny pozostaje wrażliwy i zbyt łatwo go zaniedbać.
„W związku z masową migracją organizacji do Microsoft Office 365 w ciągu ostatnich kilku lat, łatwo zapomnieć, że lokalne serwery Exchange nadal działają. Niektóre organizacje, zwłaszcza rządowe, nie mogą migrować swoich aplikacji do chmury ze względu na politykę lub regulacje, co oznacza, że przez jakiś czas będziemy widzieć serwery lokalne ”- powiedział Nayyar.
„To kolejny przypadek, który pokazuje, jak ważne jest nadążanie za poprawkami bezpieczeństwa i upewnienie się, że stos zabezpieczeń organizacji jest w stanie wykryć nowe ataki i szybko je naprawić” – dodała.