Während sich der Hafnium-Zeitplan herauskristallisiert, tauchen Anzeichen für neue Microsoft Exchange Server-Angriffe auf

Cyber Security News

Eine Welle von Angriffen auf Microsoft Exchange Server scheint sich schrittweise zu entwickeln, wobei es auch Anzeichen dafür gibt, dass andere Hacker dieselben Schwachstellen nutzen, nachdem Microsoft einen Patch angekündigt hat.

Letzte Woche hat Microsoft vier Exchange Server-Schwachstellen gepatcht, die von einer Hackergruppe in “gezielten und begrenzten” Angriffen genutzt wurden. Aber da die Hersteller sich beeilten, die Systeme zu patchen, schienen die Einbrüche keineswegs begrenzt zu sein. Am Mittwoch meldete Huntress Labs gegenüber SC Media, dass es Hunderte von angegriffenen Servern gibt. Bis zum Wochenende spekulierten einige Forscher, dass die Zahl der angegriffenen Systeme hunderttausend erreichen könnte.

“Ich denke, die Aussage von Microsoft, dass es anfangs sehr gezielt war, ist wahrscheinlich richtig; Hafnium oder wer auch immer dahinter steckt, war in seinem ersten Angriff vor dem 27. Februar sehr fokussiert”, sagte Tyler Hudak, der die Incident-Response-Bemühungen für den Anbieter TrustedSec leitet. Am 27. Februar geht es dann in einen viel größeren Maßstab über.

In dieser Zeitlinie könnte die erste größere Welle von Sicherheitsverletzungen stattgefunden haben, nachdem Microsoft an dem Patch gearbeitet hat.

Mehrere Sicherheitsanbieter berichten gegenüber SC Media, dass Hafnium am 27. und 28. Februar in auffälliger Häufigkeit Web-Shells auf Servern abgelegt hat. TrustedSec entdeckte jedoch, dass Hafnium nur sehr wenige der verfügbaren Ziele hackte und die Web-Shells auf einer kleinen Teilmenge der Server installierte, die an diesen beiden Tagen besucht und auf Schwachstellen gescannt wurden. Die Gruppe hackte schließlich vor allem die Server, die sie eine Woche später als anfällig erkannte.

“Es fühlt sich wie ein automatisierter Angriff an, bei dem jemand am 27. und 28. Februar einen Schwachstellenscan durchführte und dann am 2. und 3. März ein Skript verwendete, um physisch zu den Adressen zurückzukehren und eine Web-Shell abzulegen, damit sie später persönlich zurückkehren konnten”, sagte Hudak.

Dies, sagte Hudak, könnte erklären, warum mehrere Versionen der gleichen Web-Shell häufig auf dem gleichen Server landeten – ein Detail, das Huntress letzte Woche zum ersten Mal bemerkte. Die Opfer könnten während der frühen gezielten Angriffe, der Zeit des Schwachstellen-Scannings Ende Februar und während des skriptbasierten Angriffs Anfang März betroffen gewesen sein.

Unklar ist noch, ob das Skript vor oder nach der Ankündigung der Patches durch Microsoft auftauchte. Ein Skript könnte ein Versuch gewesen sein, so viele Angriffsmöglichkeiten wie möglich auszuschalten, bevor potenzielle Ziele gepatcht werden.

Neue Angriffe, neue Taktiken

Im Zuge der Hafnium-Affäre berichten Responder nun von scheinbar weiteren Aktivitätsclustern. Das bedeutet entweder, dass andere Gruppen dieselbe Kette von Schwachstellen nutzen oder dass ein Ableger von Hafnium bei Angriffen nach den angekündigten Patches völlig andere Taktiken, Techniken und Verfahren einsetzt.

Konkret berichtet TrustedSec von einem Botnet-ähnlichen verteilten Schwachstellen-Scan, den ein Akteur nutzt, um verwundbare Ziele zu entdecken. Red Canary verfolgt drei verschiedene Aktivitätscluster, die unterschiedliche Verfahren verwenden.

“Wir haben im Moment eine Menge Fragen dazu. Waren das nur verschiedene Angreifer, die diese Web-Shells unabhängig voneinander abgesetzt haben? Haben sie als ein Gegner zusammengearbeitet und den Zugang eines anderen genutzt? Das wissen wir im Moment nicht”, sagt Katie Nickels, Red Canary Director of Intelligence. “Kurz gesagt: Die Verfolgung der dahinter stehenden Gruppen von Angreifern ist ein einziges Durcheinander.”

Microsoft wollte sich zu dieser Geschichte nicht äußern. Bislang hat das Unternehmen immer wieder betont, dass die Server-Schwachstellen gepatcht werden müssen.

Nickels merkt an, dass das Patchen angesichts des Opportunismus der Hacker möglicherweise nicht ausreicht. Die Installation des Patches unterbricht nicht die bereits vorhandene Malware, und es ist wichtig, die Exposition zu untersuchen.

Hudak fügt hinzu, dass in vielen Fällen installierte Web-Shells nie verwendet wurden, so dass es möglich ist, eine Web-Shell ohne Anzeichen einer Exfiltration installiert zu haben.

Nickels fügte hinzu, dass unabhängig davon, ob es sich um hundert gezielte Angriffe oder 100.000 Massenopfer handelt, Netzwerkverteidiger dies als ernste Bedrohung behandeln müssen.

“Zahlen sind nicht so wichtig,” ob 100 Server angegriffen wurden oder 100.000, sagte Nickels. “Jeder muss das ernst nehmen. Unabhängig davon, ob es China ist oder nicht, es ist eine ernsthafte Bedrohung, die in freier Wildbahn ausgenutzt wird.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com