Los actores maliciosos estaban abusando de cuatro vulnerabilidades reveladas esta semana en instancias locales de Microsoft Exchange Server desde enero de 2021, según un nuevo informe elaborado por los investigadores de FireEye Mandiant Matt Bromiley, Chris DiGiamo, Andrew Thompson y Robert Wallace.
Revelado a principios de esta semana junto con un parche fuera de secuencia, la explotación de las cuatro vulnerabilidades, una clasificada como crítica y tres media, fue vinculada por Microsoft a un grupo chino de amenazas persistentes avanzadas (APT) conocido como Hafnium, aunque ya hay pruebas abundantes. Sugerir que la explotación de los ECV va más allá de un solo grupo.
En el informe de Mandiant, los investigadores dijeron que habían observado múltiples casos de abuso dentro de al menos un entorno de cliente, con actividad observada que incluía la creación de shells web para obtener acceso persistente, ejecución remota de código (RCE) y reconocimiento de soluciones de seguridad de punto final de FireEye. , Carbon Black y CrowdStrike.
“La actividad informada por Microsoft se alinea con nuestras observaciones. FireEye actualmente rastrea esta actividad en tres grupos, UNC2639, UNC2640 y UNC2643 ”, dijeron Bromiley, DiGiamo, Thompson y Wallace en un blog de divulgación.
“Anticipamos grupos adicionales a medida que respondemos a las intrusiones. Recomendamos seguir las instrucciones de Microsoft y aplicar parches a Exchange Server de inmediato para mitigar esta actividad «.
Al igual que otros investigadores que han estado rastreando la explotación, el equipo dijo que la cantidad de víctimas probablemente era mucho mayor de lo que Microsoft había dicho: las había descrito como específicas y limitadas, pero esto ahora es muy discutido.
“Basándonos en nuestra telemetría, hemos identificado una serie de víctimas afectadas, incluidos minoristas con sede en EE. UU., Gobiernos locales, una universidad y una empresa de ingeniería. La actividad relacionada también puede incluir un gobierno del sudeste asiático y telecomunicaciones de Asia central ”, dijeron.
El equipo corroboró la evaluación de Microsoft de múltiples actividades posteriores a la explotación, incluido el robo de credenciales, la compresión de datos para su exfiltración, el uso de complementos de Exchange PowerShell para robar datos de buzones de correo y el uso de otras herramientas cibernéticas ofensivas como Covenant, Nishang y PowerCat para control remoto. acceso.
“La actividad que hemos observado, junto con otras en la industria de la seguridad de la información, indica que estos actores de amenazas probablemente estén utilizando las vulnerabilidades de Exchange Server para afianzarse en los entornos. Esta actividad es seguida rápidamente por un acceso adicional y mecanismos persistentes. Tenemos varios casos en curso y continuaremos brindando información a medida que respondemos a las intrusiones ”, dijeron.
Mientras tanto, se han observado más grupos acumulados tras la estela de Hafnium, y muchos de ellos aprovechan el shell web de China Chopper, una puerta trasera que permite a los actores malintencionados obtener el control remoto del sistema comprometido y realizar más actividades posteriores a la explotación. En particular, China Chopper contiene una interfaz gráfica de usuario que permite al usuario administrar y controlar los comandos de ataque del shell web.
Según Max Malyutin de Cynet, los que lo utilizan incluyen Leviathan, estrechamente asociado a APT40; Threat Group-3390, también conocido como Emissary Panda, Bronze Union o Iron Tiger; Soft Cell (no el dúo synth-pop); y APT41. Se cree que todos estos grupos tienen alguna asociación con la actividad que se origina en China.
El CEO de Gurucul, Saryu Nayyar, dijo que los ataques en curso eran un recordatorio de que, a pesar del crecimiento estratosférico en el uso de servicios en la nube, los equipos en las instalaciones siguen siendo vulnerables y se descuidan con demasiada facilidad.
“Con las organizaciones que migraron a Microsoft Office 365 en masa durante los últimos años, es fácil olvidar que los servidores de Exchange locales todavía están en servicio. Algunas organizaciones, especialmente en el gobierno, no pueden migrar sus aplicaciones a la nube debido a políticas o regulaciones, lo que significa que veremos servidores locales durante algún tiempo ”, dijo Nayyar.
“Este es otro caso que muestra cuán vital es mantenerse al día con los parches de seguridad y asegurarse de que la pila de seguridad de la organización esté a la altura de la tarea de identificar nuevos ataques y remediarlos rápidamente”, agregó.