Microsoft Exchange Server sehen sich einem APT-Angriffs-Tsunami gegenüber

Cyber Security News

Mindestens 10 staatlich unterstützte Gruppen nutzen die ProxyLogon-Exploit-Kette, um E-Mail-Server zu kompromittieren, da sich die Kompromittierungen häufen.

Kürzlich gepatchte Microsoft Exchange-Schwachstellen stehen unter dem Beschuss von mindestens 10 verschiedenen APT-Gruppen (Advanced Persistent Threats), die alle darauf aus sind, E-Mail-Server in aller Welt zu kompromittieren. Laut den Forschern nimmt die Zahl der Angriffe insgesamt zu.

Anfang März gab Microsoft bekannt, dass es mehrere Zero-Day-Exploits in freier Wildbahn entdeckt hat, die für Angriffe auf lokale Versionen von Microsoft Exchange Server verwendet werden. Vier Schwachstellen können miteinander verkettet werden, um einen RCE-Exploit (Remote Code Execution) vor der Authentifizierung zu erstellen – was bedeutet, dass Angreifer Server übernehmen können, ohne gültige Anmeldedaten zu kennen. Dadurch erhalten sie Zugriff auf die E-Mail-Kommunikation und die Möglichkeit, eine Webshell für die weitere Ausnutzung innerhalb der Umgebung zu installieren.

Und in der Tat konnten die Angreifer der chinesischen APT, bekannt als Hafnium, auf E-Mail-Konten zugreifen, eine Reihe von Daten stehlen und Malware auf den Zielrechnern ablegen, um einen langfristigen Fernzugriff zu ermöglichen, so der Computerriese.

[Blocked Image: https://media.threatpost.com/w…2/19151457/subscribe2.jpg]

Microsoft sah sich veranlasst, Out-of-Band-Patches für die ausgenutzten Bugs zu veröffentlichen, die unter dem Namen ProxyLogon bekannt sind und als CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 verfolgt werden.

Sich schnell verbreitende E-Mail-Server-Angriffe

Microsoft sagte letzte Woche, dass die Angriffe “begrenzt und gezielt” waren. Aber das ist sicherlich nicht mehr der Fall. Andere Sicherheitsunternehmen haben weiterhin gesagt, dass sie eine viel breitere, eskalierende Aktivität mit einer großen Anzahl von Servern gesehen haben, die gescannt und angegriffen wurden.

ESET-Forscher hatten dies ebenfalls bestätigt und am Mittwoch bekannt gegeben, dass sie mindestens 10 APTs ausgemacht haben, die hinter den Bugs her sind, darunter Calypso, LuckyMouse, Tick und die Winnti Group.

“Am 28. Februar stellten wir fest, dass die Schwachstellen von anderen Bedrohungsakteuren genutzt wurden, angefangen mit Tick und schnell gefolgt von LuckyMouse, Calypso und der Winnti Group”, heißt es in dem Schreiben. “Dies deutet darauf hin, dass mehrere Bedrohungsakteure vor der Veröffentlichung des Patches Zugriff auf die Details der Schwachstellen hatten, was bedeutet, dass wir die Möglichkeit ausschließen können, dass sie einen Exploit durch Reverse-Engineering von Microsoft-Updates erstellt haben.”

Das @DIVDnl hat über 250K Exchange-Server gescannt. Hat über 46k E-Mails an die Besitzer geschickt. Die Anzahl der gefährdeten Server geht zurück. Die Anzahl der kompromittierten Systeme nimmt zu. Mehr Organisationen beginnen, ihre Systeme auf #Hafnium-Exploits zu untersuchen.https://t.co/XmQhHd7OA9

– Victor Gevers (@0xDUDE) March 9, 2021

Dieser Aktivität folgten schnell eine Reihe anderer Gruppen, darunter CactusPete und Mikroceen, die laut ESET “Exchange-Server massenhaft scannen und kompromittieren”.

“Wir haben bereits Webshells auf mehr als 5.000 E-Mail-Servern entdeckt [in more than 115 countries] zum Zeitpunkt der Erstellung dieses Berichts entdeckt, und laut öffentlichen Quellen waren mehrere wichtige Organisationen wie die Europäische Bankenaufsichtsbehörde von diesem Angriff betroffen”, heißt es in dem ESET-Bericht.

Es hat auch den Anschein, dass die Bedrohungsgruppen die Arbeit der anderen im Huckepack nehmen. In einigen Fällen wurden die Webshells beispielsweise in Offline Address Book (OAB)-Konfigurationsdateien abgelegt, auf die anscheinend mehr als eine Gruppe Zugriff hatte.

“Wir können die Möglichkeit nicht ausschließen, dass einige Bedrohungsakteure die von anderen Gruppen abgelegten Webshells gekapert haben könnten, anstatt den Exploit direkt zu nutzen”, so die ESET-Forscher. “Sobald die Schwachstelle ausgenutzt wurde und die Webshell vorhanden war, haben wir Versuche beobachtet, über sie zusätzliche Malware zu installieren. Außerdem haben wir in einigen Fällen festgestellt, dass mehrere Bedrohungsakteure auf dieselbe Organisation abzielten.”

Zero-Day-Aktivitäten, die auf Microsoft Exchange-Lücken abzielen

ESET hat eine Reihe von Aktivitäten dokumentiert, die auf die vier Schwachstellen abzielen, darunter mehrere Zero-Day-Kompromittierungen, bevor Microsoft Patches ausrollte.

So wurde Tick, der seit 2008 vor allem Unternehmen in Japan und Südkorea infiltriert, dabei beobachtet, wie er den Webserver eines IT-Unternehmens in Ostasien kompromittierte, zwei Tage bevor Microsoft seine Patches für die Exchange-Schwachstellen veröffentlichte.

“Wir beobachteten dann eine Delphi-Backdoor, die früheren Delphi-Implantaten, die von der Gruppe verwendet wurden, sehr ähnlich ist”, so die ESET-Forscher. “Ihr Hauptziel scheint der Diebstahl von geistigem Eigentum und klassifizierten Informationen zu sein.”

[Blocked Image: https://media.threatpost.com/w…5/ProxyLogon-1024x472.png]

Eine Zeitleiste der ProxyLogon-Aktivitäten. Quelle: ESET.

Einen Tag vor der Veröffentlichung der Patches kompromittierte LuckyMouse (auch bekannt als APT27 oder Emissary Panda) den E-Mail-Server einer Regierungsbehörde im Nahen Osten, wie ESET beobachtete. Die Gruppe ist auf Cyberspionage spezialisiert und dafür bekannt, mehrere Regierungsnetzwerke in Zentralasien und dem Nahen Osten sowie transnationale Organisationen wie die Internationale Zivilluftfahrtorganisation (ICAO) im Jahr 2016 angegriffen zu haben.

“Die Betreiber von LuckyMouse legten zunächst das Tool Nbtscan in C:programdata ab, installierten dann eine Variante der ReGeorg-Webshell und stellten eine GET-Anfrage an http://34.90.207.[.]23/ip unter Verwendung von curl aus”, heißt es im ESET-Bericht. “Schließlich versuchten sie, ihre modulare Backdoor SysUpdate (auch bekannt als Soldier) zu installieren.”

Am selben Tag, noch in der Zero-Day-Periode, kompromittierte die Spionagegruppe Calypso die E-Mail-Server von Regierungsstellen im Nahen Osten und in Südamerika. In den folgenden Tagen wurden weitere Server von Regierungsstellen und privaten Unternehmen in Afrika, Asien und Europa mit dem Exploit angegriffen.

“Im Rahmen dieser Angriffe wurden zwei verschiedene Backdoors beobachtet: eine für die Gruppe spezifische Variante von PlugX (Win32/Korplug.ED) und eine benutzerdefinierte Backdoor, die wir als Win32/Agent.UFX erkennen (in einem Dr.Web-Bericht als Whitebird bekannt)”, so ESET. “Diese Tools werden mittels DLL-Suchreihenfolge-Hijacking gegen legitime ausführbare Dateien geladen (die ebenfalls von den Angreifern abgelegt wurden).”

ESET beobachtete auch die Winnti-Gruppe, die die Bugs ausnutzte, wenige Stunden bevor Microsoft die Patches veröffentlichte. Winnti (auch bekannt als APT41 oder Barium, bekannt für hochkarätige Supply-Chain-Angriffe auf die Videospiel- und Software-Industrie) kompromittierte die E-Mail-Server eines Ölkonzerns und eines Baumaschinenherstellers, beide mit Sitz in Ostasien.

“Die Angreifer begannen mit dem Absetzen von Webshells”, so ESET. “Bei einem der kompromittierten Opfer beobachteten wir ein PlugX RAT-Sample (auch bekannt als Korplug)…bei dem zweiten Opfer beobachteten wir einen Loader, der früheren Winnti v.4-Malware-Loadern sehr ähnlich ist…er wurde verwendet, um eine verschlüsselte Nutzlast von der Festplatte zu entschlüsseln und auszuführen. Zusätzlich haben wir verschiedene Mimikatz- und Passwort-Dumping-Tools beobachtet.”

Nachdem die Patches ausgerollt und die Schwachstellen öffentlich gemacht wurden, kompromittierte CactusPete (alias Tonto Team) die E-Mail-Server eines in Osteuropa ansässigen Beschaffungsunternehmens und einer Cybersecurity-Beratungsfirma, so ESET. Die Angriffe führten dazu, dass der ShadowPad-Loader zusammen mit einer Variante des Bisonal-Remote-Access-Trojaners (RAT) implantiert wurde.

Und die APT-Gruppe Mikroceen (auch bekannt als Vicious Panda) kompromittierte den Exchange-Server eines Versorgungsunternehmens in Zentralasien, der Region, auf die sie hauptsächlich abzielt, einen Tag nach Veröffentlichung der Patches.

Nicht zuordenbare Exploitation-Aktivität

Eine Gruppe von Aktivitäten vor dem Patch, die ESET als “Websiic” bezeichnet, wurde auch bei sieben E-Mail-Servern beobachtet, die privaten Unternehmen (in den Bereichen IT, Telekommunikation und Technik) in Asien und einer Regierungsbehörde in Osteuropa gehören.

ESET hat außerdem eine Reihe von nicht zugeordneten ShadowPad-Aktivitäten beobachtet, die zur Kompromittierung von E-Mail-Servern eines Softwareentwicklungsunternehmens in Ostasien und einer Immobilienfirma im Nahen Osten führten. ShadowPad ist eine Cyberangriffsplattform, die Kriminelle in Netzwerken einsetzen, um Fernsteuerungsfunktionen, Keylogging-Funktionen und Datenexfiltration zu erreichen.

Außerdem gab es eine weitere Häufung von Aktivitäten, die auf etwa 650 Server abzielten, hauptsächlich in Deutschland und anderen europäischen Ländern, Großbritannien und den Vereinigten Staaten. Alle letztgenannten Angriffe enthielten eine Webshell der ersten Stufe namens RedirSuiteServerProxy, so die Forscher.

Und schließlich wurden auf vier E-Mail-Servern in Asien und Südamerika Webshells verwendet, um IIS-Backdoors zu installieren, nachdem die Patches erschienen waren, so die Forscher.

Die Zunahme der Aktivitäten, insbesondere an der Zero-Day-Front, wirft die Frage auf, wie das Wissen über die Schwachstellen zwischen den Bedrohungsgruppen verbreitet wurde.

“Unsere laufenden Untersuchungen zeigen, dass nicht nur Hafnium die jüngste RCE-Schwachstelle in Exchange ausgenutzt hat, sondern dass mehrere APTs Zugriff auf den Exploit haben, und einige sogar schon vor der Veröffentlichung des Patches”, so ESET. “Es ist noch unklar, wie die Verbreitung des Exploits zustande kam, aber es ist unvermeidlich, dass immer mehr Bedrohungsakteure, darunter auch Ransomware-Betreiber, früher oder später Zugriff darauf haben werden.”

Unternehmen mit Microsoft Exchange-Servern vor Ort sollten so schnell wie möglich einen Patch installieren, so die Forscher – falls es nicht schon zu spät ist.

“Der beste Ratschlag zur Schadensbegrenzung für Netzwerk-Verteidiger ist, die relevanten Patches anzuwenden”, sagte Joe Slowick, Senior Security Researcher bei DomainTools, in einem Beitrag vom Mittwoch. “Angesichts der Geschwindigkeit, mit der die Angreifer diese Schwachstellen als Waffe eingesetzt haben, und der langen Zeitspanne vor der Veröffentlichung, in der sie aktiv ausgenutzt wurden, müssen viele Unternehmen wahrscheinlich zu Reaktions- und Abhilfemaßnahmen übergehen – einschließlich der Reduzierung der Angriffsfläche und der aktiven Jagd nach Bedrohungen -, um bestehende Angriffe abzuwehren.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community:

  • 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!)
  • 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com