Mandiant и Sophos рассказали о новых атаках с использованием ProxyShell

Исследователи киберугроз и специалисты по реагированию на инциденты продолжают отслеживать активность атак, связанных с уязвимостями ProxyShell в Microsoft Exchange, в том числе эффективные атаки программ-вымогателей. В настоящее время множество злоумышленников активно используют ProxyShell для установки бэкдоров. Это подтверждается двумя частями нового исследования, проведенного компаниями Mandiant и Sophos, которые мониторят активность ProxyShell уже несколько недель.

«Mandiant наблюдала цепочку эксплойтов, приводящую к развертыванию веб-оболочек, бэкдоров и утилит туннелирования для дальнейшей компрометации организаций-жертв. На момент выпуска этого блога Mandiant отслеживает восемь независимых кластеров. Mandiant ожидает, что будет сформировано больше кластеров по мере того, как различные злоумышленники будут применять рабочие эксплойты», — сообщили исследователи.

chubk.com

В ходе одной атаки ProxyShell, на которую отреагировала команда Managed Defense, жертвой злоумышленника под кодовым именем UNC2980, стал американский университет. Mandiant сообщила, что группа использовала известные уязвимости из базы CVE для получения начального доступа. Затем она применила несколько общедоступных инструментов для похищения данных. Это лишь одна из множества групп угроз, которые возникли за последние несколько недель и оцениваются (хотя на данный момент с низкой степенью достоверности) как кибершпионаж, осуществляемый Китаем.

В свою очередь, группа реагирования на инциденты Sophos поделилась подробностями расследования серии недавних атак банды вымогателей Conti, которая также использовала ProxyShell для установления первоначального доступа перед тем, как задействовать свои стандартные инструменты. Conti далеко не первой начала использовать ProxyShell (как, например, операторы нового вымогателя LockFile), но атаки Conti, отслеживаемые Sophos, были необычными, поскольку они разворачивались в рекордно короткие сроки.

Sophos

«По мере того, как злоумышленники накопили опыт использования этих методов, время ожидания перед запуском полезной нагрузки в целевых сетях сократилось с недель до дней и часов», — пояснил старший исследователь угроз в Sophos Labs Шон Галлахер (Sean Gallagher). Так, в одном случае злоумышленники смогли получить доступ к сети и развернуть веб-оболочку менее чем за минуту. Через три минуты они установили вторую, резервную веб-оболочку.

В течение 30 минут они сформировали полный список узлов сети, контроллеров домена и администраторов. Через четыре часа были извлечены учётные данные администраторов домена, а через 48 часов после получения первоначального доступа злоумышленники извлекли около 1 Тбайт данных. По прошествии пяти дней они развернули программу-вымогатель Conti на каждой машине в сети, специально нацелившись на общие сетевые ресурсы. В ходе атаки они установили семь лазеек в сети жертвы.

Галлахер призвал пользователей Microsoft Exchange применить исправления, которые уменьшают опасность эксплойтов ProxyShell, отметив, что доступные исправления требуют установку недавнего накопительного обновления Exchange Server, что  фактически означает вынужденный простой. По этой причине некоторые из пользователей откладывают установку исправлений.