Чилийский финансовый регулятор опубликовал IOC для уязвимостей ProxyLogon

уязвимость Чили индикаторы компрометации China Chopper web-оболочка ProxyLogon Microsoft Exchange
Чилийский финансовый регулятор опубликовал IOC для уязвимостей ProxyLogon
уязвимость Чили индикаторы компрометации China Chopper web-оболочка ProxyLogon Microsoft Exchange

Комиссия по финансовому рынку Чили пополнила многочисленный список жертв атак на серверы Microsoft Exchange.

Комиссия по финансовому рынку Чили (Comisión para el Mercado Financiero, CMF) сообщила, что ее серверы были скомпрометированы через уязвимости в Microsoft Exchange, известные как ProxyLogon.

CMF подчиняется Министерству финансов Чили и является органом, регулирующим и инспектирующим банки и другие финансовые учреждения в стране. Как сообщила комиссия на этой неделе, злоумышленники проэксплуатировали уязвимости и установили web-оболочки в попытке похитить учетные данные.

В ходе анализа инцидента, проведенного специалистами CMF и сторонними ИБ-экспертами, следов присутствия в сетях комиссии вымогательского ПО обнаружено не было. Как установили специалисты, инцидент ограничен только платформой Microsoft Exchange. В настоящее время расследование продолжается.

Чтобы помочь специалистам в области безопасности и другим администраторам Microsoft Exchange, CMF опубликовала индикаторы компрометации (IOC) web-оболочек и пакетного файла, обнаруженных на скомпрометированном сервере:

  • 0b15c14d0f7c3986744e83c208429a78769587b5: error_page.aspx (web-оболочка China Chopper);

  • bcb42014b8dd9d9068f23c573887bf1d5c2fc00e: supp0rt.aspx (web-оболочка China Chopper);

  • 0aa3cda37ab80bbe30fa73a803c984b334d73894: test.bat (пакетный файл для выгрузки lsass.exe).

Хотя IOC могут иметь разные хеши файлов для каждой жертвы, имена файлов те же самые. Web-оболочки с именами error_page.asp и supp0rt.aspx использовались во многих атаках ProxyLogon и по большей части являются идентичными, только с некоторыми изменениями в зависимости от жертвы.

Эти файлы представляют собой автономные адресные книги Microsoft Exchange (OAB), для которых параметр ExternalUrl изменен на web-оболочку China Chopper. Эта web-оболочка позволяет злоумышленникам удаленно выполнять команды на взломанном сервере Microsoft Exchange путем перехода по заданному в параметре ExternalURL URL-адресу.

Пакетный файл test.bat часто встречается в атаках ProxyLogon и используется для извлечения данных из памяти процесса LSASS с целью похищения учетных данных для домена Windows. Пакетный файл также экспортирует список пользователей домена Windows.

Хотя в большинстве атак на Microsoft Exchange на серверы устанавливаются web-оболочки, похищаются учетные данные и содержимое электронной почты, в некоторых случаях злоумышленники развертывают криптомайнеры, а с недавних пор еще и вымогательское ПО DearCry .

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Новости по теме

SFI: новый план Microsoft по созданию самой надежной технологической платформы в мире

Microsoft намерена похоронить пароли: Passkey открывает двери в безопасное будущее

Microsoft запрещает спецслужбам использовать ИИ для распознавания лиц

Microsoft Graph API: как легитимная платформа превратилась в мощное оружие киберпреступников

GPT-4 на службе у Пентагона: Microsoft запускает разведывательный ИИ в секретной сети США

Лаборатория Касперского представила главные мишени хакеров в 2024 году

TAO: самая высокая обсерватория в мире открывает окно в инфракрасную Вселенную

Атака «Dirty Stream»: хакеры нацелились на миллионы пользователей Android

Каталог CISA KEV – спасение от хакеров: уязвимости устраняются в 3,5 раза быстрее