Múltiples actores de amenazas ahora están fusionando su actividad en torno a las vulnerabilidades de ProxyShell en Microsoft Exchange Server, que desató la alarma en los círculos de seguridad cibernética en agosto luego de un proceso de divulgación fallido.
Esto es de acuerdo con dos nuevas investigaciones de Mandiant y Sophos, que han estado rastreando la actividad alrededor de ProxyShell durante varias semanas.
Mandiant dijo que había respondido a múltiples intrusiones relacionadas con la explotación de ProxyShell en varios clientes e industrias, y que la disponibilidad generalizada de exploits de prueba de concepto (PoC) no ayudaba en nada.
“Ejemplos de prueba de concepto [PoC] cualquier grupo de amenazas podría aprovechar las vulnerabilidades desarrolladas y publicadas públicamente por investigadores de seguridad, lo que llevaría a la adopción por parte de grupos de amenazas con diferentes niveles de sofisticación ”, dijo el equipo de investigación de Mandiant en una publicación de blog.
“Mandiant ha observado que la cadena de exploits resulta en actividades posteriores a la explotación, incluido el despliegue de shells web, puertas traseras y utilidades de tunelización para comprometer aún más a las organizaciones víctimas. En el momento del lanzamiento de este blog, Mandiant rastrea ocho grupos independientes. Mandiant anticipa que se formarán más grupos a medida que diferentes actores de amenazas adopten exploits de trabajo “.
En un ataque de ProxyShell al que respondió su equipo de Managed Defense, una universidad con sede en EE. UU. Fue atacada por un actor de amenazas rastreado por Mandiant como UNC2980. Este es solo uno de varios grupos de actividades de amenazas que han aparecido en las últimas semanas y se evalúa (aunque con poca confianza en este momento) como una operación de ciberespionaje que se está ejecutando en China.
Mandiant dijo que el grupo estaba explotando las tres vulnerabilidades y exposiciones comunes (CVE) que componen colectivamente ProxyShell para cargar shells web a sus objetivos con el fin de obtener acceso inicial. Luego utiliza múltiples herramientas disponibles públicamente, incluidas Earthworm, Htran, Mimikatz y WMIExec, para descubrir y hacerse con su tesoro de datos robados.
Mientras tanto, el equipo de respuesta a incidentes de Sophos compartió detalles de una investigación sobre una serie de ataques recientes por parte de un afiliado de la banda de ransomware Conti, que también usó ProxyShell para establecer el acceso inicial antes de seguir el libro de jugadas estándar de Conti.
Conti no es de ninguna manera el primer equipo de ransomware que ha comenzado a usar ProxyShell (los que implementan el nuevo ransomware LockFile también han estado ganando terreno), pero los ataques de Conti rastreados por Sophos fueron inusuales porque se desarrollaron en un tiempo récord, explicó el investigador senior de amenazas de Sophos Labs. Sean Gallagher.
“A medida que los atacantes han adquirido experiencia con las técnicas, su tiempo de permanencia antes de lanzar la carga útil final de ransomware en las redes objetivo ha disminuido de semanas a días a horas”, dijo.
“En el caso de uno del grupo de ataques basados en ProxyShell observados por Sophos, los afiliados de Conti lograron obtener acceso a la red del objetivo y configurar un shell web remoto en menos de un minuto. Tres minutos más tarde, instalaron un segundo shell web de respaldo. En 30 minutos, habían generado una lista completa de las computadoras, controladores de dominio y administradores de dominio de la red.
“Solo cuatro horas después, los afiliados de Conti obtuvieron las credenciales de las cuentas de administrador de dominio y comenzaron a ejecutar comandos”, dijo Gallagher. “Dentro de las 48 horas posteriores a obtener ese acceso inicial, los atacantes habían exfiltrado aproximadamente 1 Terabyte de datos. Después de que pasaron cinco días, implementaron el ransomware Conti en cada máquina de la red, apuntando específicamente a los recursos compartidos de red individuales en cada computadora “.
Durante el curso del ataque, la filial de Conti instaló siete puertas traseras en la red objetivo, que comprenden dos shells web, cuatro herramientas comerciales de acceso remoto (AnyDesk, Atera, Splashtop y Remote Utilities) e, inevitablemente, Cobalt Strike.
Gallagher instó a los usuarios de Microsoft Exchange a aplicar correcciones que mitiguen las vulnerabilidades de ProxyShell, pero señaló que las correcciones disponibles requieren actualizar una actualización acumulativa reciente de Exchange Server, lo que significa que los usuarios esencialmente deben reinstalar Exchange y sufrir un período de inactividad, lo que puede retrasar algunos.