La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) y la Oficina Federal de Investigaciones (FBI) emitieron el miércoles una advertencia conjunta sobre la explotación activa de vulnerabilidades en los productos locales de Microsoft Exchange por parte de actores estatales y ciberdelincuentes.
«El CISA y el FBI evalúan que los adversarios podrían explotar estas vulnerabilidades para comprometer redes, robar información, cifrar datos para obtener un rescate o incluso ejecutar un ataque destructivo», dijeron las agencias . «Los adversarios también pueden vender acceso a redes comprometidas en la web oscura».
Los ataques se han dirigido principalmente a gobiernos locales, instituciones académicas, organizaciones no gubernamentales y entidades comerciales en varios sectores de la industria, incluida la agricultura, la biotecnología, la industria aeroespacial, la defensa, los servicios legales, los servicios públicos de energía y la farmacéutica, que las agencias dicen que están en línea con actividad previa realizada por ciber actores chinos.
Se cree que decenas de miles de entidades, incluida la Autoridad Bancaria Europea y el Parlamento noruego , han sido violadas para instalar una puerta trasera basada en la web llamada China Chopper web shell que otorga a los atacantes la capacidad de saquear las bandejas de entrada de correo electrónico y acceder de forma remota al objetivo. sistemas.
El desarrollo se produce a la luz de la rápida expansión de los ataques dirigidos a servidores Exchange vulnerables, con múltiples actores de amenazas explotando las vulnerabilidades desde el 27 de febrero antes de que finalmente fueran parcheados por Microsoft la semana pasada, convirtiendo rápidamente lo que se etiquetó como «limitado y dirigido». en una campaña de explotación masiva indiscriminada.
Si bien no hay una explicación concreta para la explotación generalizada por parte de tantos grupos diferentes, se especula que los adversarios compartieron o vendieron código de explotación, lo que provocó que otros grupos pudieran abusar de estas vulnerabilidades, o que los grupos obtuvieron la explotación de un vendedor común.
De RCE a Web Shells a implantes
El 2 de marzo de 2021, Volexity reveló públicamente la detección de múltiples exploits de día cero utilizados para detectar fallas en las versiones locales de los servidores Microsoft Exchange, al tiempo que registró la primera actividad de explotación en estado salvaje el 3 de enero de 2021.
El armamento exitoso de estas fallas, llamado ProxyLogon, permite a un atacante acceder a los servidores Exchange de las víctimas, lo que les permite obtener acceso persistente al sistema y control de una red empresarial.
Aunque Microsoft inicialmente atribuyó las intrusiones a Hafnium, un grupo de amenazas que se considera patrocinado por el estado y que opera fuera de China, la firma eslovaca de ciberseguridad ESET dijo el miércoles que identificó no menos de 10 actores de amenazas diferentes que probablemente se aprovecharon de la ejecución remota del código. fallas para instalar implantes maliciosos en los servidores de correo electrónico de las víctimas.
Además de Hafnium, los cinco grupos detectados que explotan las vulnerabilidades antes del lanzamiento del parche son Tick, LuckyMouse, Calypso, Websiic y Winnti (también conocido como APT41 o Barium), con otros cinco (Tonto Team, ShadowPad, «Opera» Cobalt Strike, Mikroceen y DLTMiner) escaneando y comprometiendo los servidores Exchange en los días inmediatamente posteriores al lanzamiento de las correcciones.
Hasta ahora no ha surgido evidencia concluyente que conecte la campaña con China, pero el investigador de seguridad senior de Domain Tools, Joe Slowik, señaló que varios de los grupos mencionados anteriormente han estado vinculados anteriormente a actividades patrocinadas por China, incluidos Tick, LuckyMouse, Calypso, Tonto Team, Mikroceen. y el Grupo Winnti, lo que indica que las entidades chinas distintas de Hafnium están vinculadas a la actividad de explotación de Exchange.
«Parece claro que hay numerosos grupos de grupos que aprovechan estas vulnerabilidades, los grupos están utilizando escaneo masivo o servicios que les permiten apuntar de forma independiente a los mismos sistemas y, finalmente, hay múltiples variaciones del código que se descartan, lo que puede ser indicativo de iteraciones al ataque «, dijo el equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks .
En un grupo rastreado como » Paloma zafiro » por investigadores de Red Canary con sede en EE. UU., Los atacantes lanzaron múltiples proyectiles web sobre algunas víctimas en diferentes momentos, algunos de los cuales se desplegaron días antes de realizar la actividad de seguimiento.
Según el análisis de telemetría de ESET, se dice que más de 5.000 servidores de correo electrónico pertenecientes a empresas y gobiernos de más de 115 países se han visto afectados por actividades maliciosas relacionadas con el incidente. Por su parte, el Instituto Holandés de Divulgación de Vulnerabilidades (DIVD) informó el martes que encontró 46.000 servidores de 260.000 a nivel mundial que no estaban parcheados contra las vulnerabilidades de ProxyLogon fuertemente explotadas.
De manera preocupante, la evidencia apunta al hecho de que el despliegue de los shells web aumentó luego de la disponibilidad del parche el 2 de marzo, lo que aumenta la posibilidad de que entidades adicionales hayan intervenido de manera oportunista para crear exploits mediante la ingeniería inversa de actualizaciones de Microsoft como parte de múltiples e independientes. Campañas.
«El día después del lanzamiento de los parches, comenzamos a observar a muchos más actores de amenazas escaneando y comprometiendo servidores Exchange en masa», dijo el investigador de ESET Matthieu Faou. «Curiosamente, todos ellos son grupos APT centrados en el espionaje, excepto uno atípico que parece estar relacionado con una conocida campaña de minería de monedas (DLTminer). Aún no está claro cómo ocurrió la distribución del exploit, pero es inevitable que cada vez más los actores de amenazas, incluidos los operadores de ransomware, tendrán acceso tarde o temprano «.
Además de instalar el shell web, otros comportamientos relacionados o inspirados por la actividad de Hafnium incluyen la realización de reconocimientos en entornos de víctimas mediante la implementación de scripts por lotes que automatizan varias funciones como la enumeración de cuentas, la recolección de credenciales y el descubrimiento de redes.
Prueba de concepto pública disponible
Para complicar aún más la situación, está la disponibilidad de lo que parece ser el primer exploit público funcional de prueba de concepto (PoC) para las fallas de ProxyLogon a pesar de los intentos de Microsoft de eliminar los exploits publicados en GitHub durante los últimos días.
«He confirmado que hay un PoC pública flotando alrededor de la RCE plena explotación de la cadena,» el investigador de seguridad de Marcus Hutchins dijo . «Tiene un par de errores, pero con algunas correcciones pude instalar el shell en mi caja de prueba».
También acompaña al lanzamiento de la PoC una descripción técnica detallada de los investigadores de Praetorian, quienes realizaron ingeniería inversa de CVE-2021-26855 para construir un exploit de extremo a extremo completamente funcional identificando las diferencias entre las versiones vulnerables y parcheadas.
Si bien los investigadores decidieron deliberadamente omitir los componentes críticos de PoC, el desarrollo también ha suscitado preocupaciones de que la información técnica podría acelerar aún más el desarrollo de un exploit funcional, lo que a su vez desencadenó aún más actores de amenazas para que lancen sus propios ataques.
A medida que la línea de tiempo del hackeo en expansión cristaliza lentamente, lo que está claro es que la oleada de infracciones contra Exchange Server parece haber ocurrido en dos fases, con Hafnium usando la cadena de vulnerabilidades para atacar a los objetivos de manera sigilosa de manera limitada, antes de que otros hackers comenzaran a impulsar el frenesí. actividad de escaneo a partir del 27 de febrero.
El periodista de ciberseguridad Brian Krebs atribuyó esto a la perspectiva de que «diferentes grupos de ciberdelincuentes se enteraron de algún modo de los planes de Microsoft de enviar soluciones para las fallas de Exchange una semana antes de lo que esperaban».
«El mejor consejo para mitigar las vulnerabilidades reveladas por Microsoft es aplicar los parches relevantes», dijo Slowik .
«Sin embargo, dada la velocidad con la que los adversarios utilizaron estas vulnerabilidades como armas y el extenso período de tiempo previo a la divulgación cuando se explotaron activamente, es probable que muchas organizaciones necesiten realizar actividades de respuesta y reparación para contrarrestar las intrusiones existentes».
Fuente: The Hacker News
