Οι χάκερς έχουν μετατρέψει τους διακομιστές Microsoft Exchange σε κέντρα ελέγχου κακόβουλου λογισμικού.
Η Microsoft και η ουκρανική CERT έχουν προειδοποιήσει για νέες επιθέσεις από τη ρωσική κρατική ομάδα hacking Turla, που στοχεύουν την αμυντική βιομηχανία και τους Microsoft Exchange servers με ένα νέο backdoor κακόβουλου λογισμικού “DeliveryCheck”.
Ο απειλητικός παράγοντας Turla, επίσης γνωστός ως Secret Blizzard, KRYPTON και UAC-0003, πιστεύεται ότι είναι ένας προηγμένος φορέας μόνιμων απειλών (APT) που συνδέεται με την Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB) της Ρωσίας.
Οι κυβερνοκατασκόποι έχουν συσχετιστεί με ένα ευρύ φάσμα επιθέσεων κατά δυτικών συμφερόντων κατά τη διάρκεια των ετών, συμπεριλαμβανομένου του Snake malware για κυβερνοκατασκοπεία, το οποίο διακόπηκε πρόσφατα σε μια διεθνή επιχείρηση επιβολής του νόμου με τίτλο “Επιχείρηση MEDUSA”.
Δείτε επίσης: Απατεώνες στοχεύουν φοιτητές με ψεύτικες θέσεις εργασίας
Δείτε επίσης: Οι επιθέσεις ransomware γίνονται όλο και πιο συχνές και εξελιγμένες
Στοχεύοντας τον Microsoft Exchange
Σε μια συντονισμένη έκθεση και ένα thread στο Twitter που δημοσιεύθηκε σήμερα από το CERT-UA και τη Microsoft, οι ερευνητές περιέγραψαν μια νέα επίθεση, όπου οι απειλητικοί φορείς Turla στόχευσαν τον αμυντικό τομέα στην Ουκρανία και την Ανατολική Ευρώπη.
Η επίθεση ξεκινά με ένα μήνυμα ηλεκτρονικού ταχυδρομείου ηλεκτρονικού “ψαρέματος” που περιέχει ένα συνημμένο αρχείο Excel XLSM που περιέχει κακόβουλες μακροεντολές. Όταν ενεργοποιηθούν, αυτές οι μακροεντολές εκτελούν μια εντολή PowerShell, δημιουργώντας μια προγραμματισμένη εργασία που προσποιείται έναν ενημερωτή του προγράμματος περιήγησης Firefox.
Ωστόσο, αυτό το task κατεβάζει το DeliveryCheck backdoor (επίσης γνωστό ως CapiBar και GAMEDAY) και το εκκινεί στη μνήμη, όπου συνδέεται με τον διακομιστή εντολών και ελέγχου του απειλητικού φορέα για να λάβει εντολές εκτέλεσης ή ανάπτυξης περαιτέρω ωφέλιμων φορτίων κακόβουλου λογισμικού.
Η Microsoft αναφέρει ότι αυτά τα malware payloads ενσωματώνονται και γίνονται launch από XSLT stylesheets.
Αφού μόλυναν τις συσκευές, οι απειλητικοί φορείς χρησιμοποίησαν το backdoor για να διαρρεύσουν δεδομένα από τις μολυσμένες συσκευές χρησιμοποιώντας το εργαλείο Rclone.
Αυτό που κάνει το DeliveryCheck να ξεχωρίζει είναι το component του στην πλευρά του διακομιστή Microsoft Exchange, το οποίο μετατρέπει τον server σε server εντολών και ελέγχου για τους απειλητικούς φορείς.
Η Microsoft αναφέρει ότι αυτό το στοιχείο εγκαθίσταται χρησιμοποιώντας το Desired State Configuration, ένα module PowerShell που επιτρέπει στους διαχειριστές να δημιουργούν μια τυποποιημένη διαμόρφωση server και να την εφαρμόζουν στις συσκευές.
Αυτή η λειτουργία χρησιμοποιείται συνήθως για τη δημιουργία ενός προεπιλεγμένου προτύπου διαμόρφωσης, το οποίο μπορεί στη συνέχεια να χρησιμοποιηθεί για την αυτόματη διαμόρφωση πολλαπλών συσκευών με τις ίδιες ρυθμίσεις.
Οι απειλητικοί φορείς χρησιμοποιούν το DSC για να φορτώσουν αυτόματα ένα εκτελέσιμο αρχείο των Windows με κωδικοποίηση base64, το οποίο μετατρέπει τον νόμιμο Exchange server σε διακομιστή διανομής κακόβουλου λογισμικού.
Κατά τη διάρκεια της επίθεσης, η Microsoft και η CERT-UA παρατήρησαν επίσης ότι η ομάδα Turla έκανε drop το backdoor KAZUAR για την κλοπή πληροφοριών.
Αυτό το malware είναι ένα εργαλείο κατασκοπείας στον κυβερνοχώρο που επιτρέπει στους απειλητικούς παράγοντες να εκκινούν JavaScript σε μια συσκευή, να κλέβουν δεδομένα από τα event logs, πληροφορίες σχετικά με αρχεία συστήματος, καθώς και κουπόνια ελέγχου ταυτότητας, cookies και credentials από μια μεγάλη ποικιλία προγραμμάτων, όπως προγράμματα περιήγησης, προγράμματα FTP, λογισμικό VPN, KeePass, Azure, AWS και Outlook.
Δείτε επίσης: Χιλιάδες OpenAI credentials έχουν κλαπεί και πωλούνται στο dark web
Η CERT-UA αναφέρει ότι έχει μοιραστεί δείγματα του νέου κακόβουλου λογισμικού με εταιρείες κυβερνοασφάλειας για να βοηθήσει στον εντοπισμό του.
Ωστόσο, αυτή τη στιγμή, μόνο 14 από τους 70 προμηθευτές στο VirusTotal εντόπισαν ένα δείγμα του DeliveryCheck ως κακόβουλο λογισμικό.
Πηγή πληροφοριών: bleepingcomputer.com
