Чилийский финансовый регулятор опубликовал IOC для уязвимостей ProxyLogon

Чилийский финансовый регулятор опубликовал IOC для уязвимостей ProxyLogon

Комиссия по финансовому рынку Чили пополнила многочисленный список жертв атак на серверы Microsoft Exchange.

image

Комиссия по финансовому рынку Чили (Comisión para el Mercado Financiero, CMF) сообщила, что ее серверы были скомпрометированы через уязвимости в Microsoft Exchange, известные как ProxyLogon.

CMF подчиняется Министерству финансов Чили и является органом, регулирующим и инспектирующим банки и другие финансовые учреждения в стране. Как сообщила комиссия на этой неделе, злоумышленники проэксплуатировали уязвимости и установили web-оболочки в попытке похитить учетные данные.

В ходе анализа инцидента, проведенного специалистами CMF и сторонними ИБ-экспертами, следов присутствия в сетях комиссии вымогательского ПО обнаружено не было. Как установили специалисты, инцидент ограничен только платформой Microsoft Exchange. В настоящее время расследование продолжается.

Чтобы помочь специалистам в области безопасности и другим администраторам Microsoft Exchange, CMF опубликовала индикаторы компрометации (IOC) web-оболочек и пакетного файла, обнаруженных на скомпрометированном сервере:

  • 0b15c14d0f7c3986744e83c208429a78769587b5: error_page.aspx (web-оболочка China Chopper);

  • bcb42014b8dd9d9068f23c573887bf1d5c2fc00e: supp0rt.aspx (web-оболочка China Chopper);

  • 0aa3cda37ab80bbe30fa73a803c984b334d73894: test.bat (пакетный файл для выгрузки lsass.exe).

Хотя IOC могут иметь разные хеши файлов для каждой жертвы, имена файлов те же самые. Web-оболочки с именами error_page.asp и supp0rt.aspx использовались во многих атаках ProxyLogon и по большей части являются идентичными, только с некоторыми изменениями в зависимости от жертвы.

Эти файлы представляют собой автономные адресные книги Microsoft Exchange (OAB), для которых параметр ExternalUrl изменен на web-оболочку China Chopper. Эта web-оболочка позволяет злоумышленникам удаленно выполнять команды на взломанном сервере Microsoft Exchange путем перехода по заданному в параметре ExternalURL URL-адресу.

Пакетный файл test.bat часто встречается в атаках ProxyLogon и используется для извлечения данных из памяти процесса LSASS с целью похищения учетных данных для домена Windows. Пакетный файл также экспортирует список пользователей домена Windows.

Хотя в большинстве атак на Microsoft Exchange на серверы устанавливаются web-оболочки, похищаются учетные данные и содержимое электронной почты, в некоторых случаях злоумышленники развертывают криптомайнеры, а с недавних пор еще и вымогательское ПО DearCry .


Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.