10 Gruppen zielen jetzt auf Hafnium-Schwachstellen in Microsoft Exchange

Cyber Security News

Das Besucherzentrum auf dem Campus der Microsoft-Zentrale in Redmond, Washington. Zehn verschiedene Bedrohungsgruppen oder anderweitig eindeutige Cluster von Einbrüchen haben eine Kette von Sicherheitslücken genutzt, die Microsoft in Exchange Server gepatcht hat. (Stephen Brashear/Getty Images)

Das Sicherheitsunternehmen ESET hat mittlerweile zehn verschiedene Bedrohungsgruppen oder anderweitig einzigartige Cluster von Einbrüchen verfolgt, die eine Kette von Schwachstellen ausgenutzt haben, die Microsoft letzte Woche in Exchange Server gepatcht hat.

Als Microsoft die Schwachstellen gepatcht hatte, schrieb das Unternehmen die Angriffe in freier Wildbahn einem einzelnen Akteur zu, den es Hafnium nannte und von dem Microsoft glaubt, dass es sich um eine vom chinesischen Staat gesponserte Gruppe handelt. Seit der Veröffentlichung des Patches haben Forscher andere Gruppen identifiziert, die die gleichen Schwachstellen in noch ungepatchten Systemen ausnutzen.

Die von ESET erstellte Taxonomie der Advanced Persistent Threats, die diese Schwachstellen ausnutzen, ist sowohl die umfangreichste als auch die erste, die die Angriffe bekannten Akteuren zuordnet. Interessanterweise stellt ESET fest, dass mehrere Gruppen die Schwachstellen in den letzten Tagen vor dem Patch genutzt haben.

Fast alle bekannten Gruppen, die von ESET identifiziert wurden, sind nationalstaatliche oder staatlich geförderte Akteure; ESET schreibt in seinem Blogpost, dass nur eine Gruppe von Aktivitäten, ein Kryptowährungs-Miner, von einer kriminellen Gruppe zu stammen scheint. Alle zuvor identifizierten und zugeschriebenen APTs in dem Bericht wurden in der Vergangenheit entweder der chinesischen Regierung zugeschrieben oder in einem Fall einem chinesischsprachigen Akteur in Asien.

Die große Vielfalt an potenziell unkoordinierten Akteuren könnte erklären, warum auf einigen Servern mehrere Web-Shell-Installationen zu sehen waren.

Vor der Ankündigung des Patches entdeckte ESET, dass die Gruppen Tick (auch bekannt als Bronze Butler), LuckyMouse (auch bekannt als APT 27 und Emissary Panda) und Calypso die Schwachstellenkette ausnutzten. Tick und LuckyMouse werden von vielen Anbietern China zugeschrieben, während Calypso von PT Security dem asiatischen Raum zugeschrieben wird und dafür bekannt ist, dass er Chinesisch spricht.

ESET fand heraus, dass Tick am 28. Februar in die Systeme eines ostasiatischen IT-Anbieters eindrang und eine Delphi-Backdoor einschleuste. LuckyMouse kompromittierte am 1. März ein Regierungssystem im Nahen Osten und verwendete NBScan, ReGourge und Soldier. Calypso zielte mit Varianten von PlugX und Mimikatz auf Server im Nahen Osten und in Südamerika ab.

ESET merkt an, dass die Gruppen, die die Schwachstellen vor der Ankündigung des Patches genutzt haben, per Definition von den Schwachstellen gewusst haben müssen, bevor sie veröffentlicht wurden.

Ein paar andere bekannte Fälle: Ab dem 2. März, dem Tag, an dem Microsoft den Patch ankündigte, zielte die Winnti-Gruppe, von der ebenfalls angenommen wird, dass sie aus China stammt, auf ostasiatische Öl- und Baufirmen ab und nutzte dabei das PlugX RAT und die Infrastruktur, die die Gruppe bei früheren Angriffen verwendet hatte. Die Tonto Group, eine weitere Gruppe, die weithin China zugeschrieben wird, begann am 3. März mit der Ausnutzung der Schwachstellen und griff ein osteuropäisches “auf Softwareentwicklung und Cybersicherheit spezialisiertes Beratungsunternehmen” sowie eine Beschaffungsfirma an, wobei sie die von mehreren chinesischen Gruppen verwendete ShadowPad-Malware verwendete. Mikroceen, eine weitere Gruppe, die weitgehend China zugeschrieben wird, begann am 4. März mit der Nutzung der Schwachstellen-Kette. ESET identifizierte eine weitere Gruppe von ShadowPad-Aktivitäten, die nicht zu anderen Kampagnen passen und am 3. März begannen. Am selben Tag wurden Server in Südamerika von einer Gruppe von IIS-Backdoor-Einbrüchen heimgesucht. Am 5. März tauchte eine Gruppe auf, die den DLTMiner nutzte und möglicherweise die Web-Shells der APT kaperte.

In seinem Blog-Beitrag wiederholt ESET die Ratschläge von Microsoft seit der ersten Ankündigung.

“Es ist jetzt eindeutig jenseits der besten Zeit, alle Exchange-Server so schnell wie möglich zu patchen”, schreibt ESET.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com