APT35 nutzt ProxyShell-Schwachstellen zur Bereitstellung mehrerer WebShells

[post-views]
März 28, 2022 · 3 min zu lesen
APT35 nutzt ProxyShell-Schwachstellen zur Bereitstellung mehrerer WebShells

Forscher haben in den letzten Monaten einen neuen Schub von vom iranischen Staat finanzierten APT35-Angriffen beobachtet. Eine neue Untersuchung zeigt, dass APT35 (auch bekannt als TA453, COBALT ILLUSION, Charming Kitten, ITG18, Phosphorus, Newscaster) vermehrt Microsoft Exchange ProxyShell-Schwachstellen ausnutzt, um Zugang zu erhalten, und eine Vielzahl verschiedener Angriffsvektoren nutzen, sobald sie Zugang zu den Netzwerken der Opfer erlangt haben.

Scrollen Sie nach unten, um unsere neuesten Erkennungsregeln zu sehen, die SOC-Teams helfen werden, die jüngsten Aktivitäten von APT35 während und nach dem ProxyShell-Exploit zu identifizieren.

Erkennung von APT35-Angriffen Beteiligung von ProxyShell

APT35 hört nicht einfach auf, die Microsoft Exchange ProxyShell-Schwachstellen nach ihren ersten Zugriffskampagnen auszunutzen. Entdecken Sie die untenstehenden Regeln, die von unseren Threat Bounty-Entwicklern Furkan Celik, Osman Demir, Nattatorn Chuensangarun und Aytek Aytemur erstellt wurden, um die Ausführung eines Webshells, die Persistenz von Bedrohungsakteuren und den Zugriff auf Anmeldeinformationen zu erkennen. Melden Sie sich in Ihrem Konto auf unserer Plattform an, um sofort auf Sigma-Regeln sowie auf über 20 Übersetzungen in herstellerspezifische Formate für eine einfache Bereitstellung zuzugreifen.

Möglicher initialer APT35-Zugriff durch Ausführung eines Webshells nach ProxyShell-Exploit (via ps_script)

Mögliche APT35-Persistenz durch Hinzufügen geplanter Aufgaben nach ProxyShell-Exploit (via cmdline)

Möglicher APT35-Zugriff auf Anmeldeinformationen durch Speicherabbilderstellung von lsass.exe mit comsvcs.dll (via cmdline)

Mögliche APT35-Ausführung durch Verbindungstest mit Microsoft Exchange Management Snap-in (via cmdline)

Diese Regeln adressieren die folgenden Techniken des MITRE ATT&CK® Frameworks v.10: Ausnutzen von öffentlich zugänglichen Anwendungen, Geplante Aufgaben/Jobs, Erkundung von Systeminformationen, Ausnutzung für Anmeldeinformationszugriff und OS-Anmeldeinformationen-Abbildung.

Außerdem helfen die untenstehenden Regeln dabei, die Ausnutzung der ProxyShell-Schwachstellen zu erkennen, bevor die Post-Exploitation-Taktiken ausgelöst werden:

Exchange ProxyShell Muster

Erfolgreicher Exchange ProxyShell Angriff

CVE-2021-34473 Exchange Server RCE (Proxyshell)

Drücken Sie den untenstehenden Button, um die neuesten Erkennungsinhalte zu prüfen, die mit der neuesten Veränderung in den Taktiken von APT35 verbunden sind. Und wenn Sie zusätzliche Erkenntnisse haben, die Sie teilen möchten, sind Sie eingeladen, an unserer Crowdsourcing-Initiative teilzunehmen, indem Sie Ihre eigenen Erkennungsregeln einreichen.

Erkennungen anzeigen Am Threat Bounty teilnehmen

Ausnutzung der ProxyShell-Schwachstellen

ProxyShell-Schwachstellen (CVE-2021-31207,CVE-2021-34523,CVE-2021-34473) ermöglichen die Remotecodeausführung in Microsoft Exchange. Sie wurden von Orange Tsai Sicherheitsforscher detailliert dargelegt und erstmals im April 2021 beim Pwn2Own-Hackcontest in Vancouver enthüllt.

Kürzlich wurden APT35-Hacker beobachtet, die ProxyShell-Exploits nutzen, um ihre bösartigen Ziele zu erreichen. Insbesondere schlagen Forscher vor, dass APT35 automatisierte Skripte für den initialen Zugriff und weitere Aktivitäten verwendet, da dieselbe Abfolge und Art von Befehlen innerhalb kurzer Zeitspanne in verschiedenen Fällen wiederholt wurde.

In den Anfangsphasen des Angriffs laden die Angreifer eine Webshell hoch und deaktivieren jegliche Antivirensoftware. Anschließend folgen zwei Persistenzmethoden: geplante Aufgaben und ein neu erstelltes Konto. Letzteres wird zu lokalen Administratorgruppen und Fernutzern hinzugefügt.

Unmittelbar danach führten die Angreifer mit Hilfe von Windows-eigenen Programme wie net und ipconfig eine Umgebungserkundung durch, deaktivierten den LSA-Schutz, aktivierten WDigest, erstellten ein Abbild des LSASS-Prozessespeichers und luden die Ergebnisse über die Webshell herunter.

Um den neu auftretenden Bedrohungen stets einen Schritt voraus zu sein, richten Organisationen ihren Fokus auf einen kollaborativen Verteidigungsansatz. Nutzen Sie die Kraft des Fachwissens, das von der globalen Gemeinschaft der brillantesten Cyber-Köpfe bereitgestellt wird, indem Sie sich für die Detection as Code-Plattform von SOC Prime registrieren. Optimieren Sie Ihre SOC-Abläufe und machen Sie die Bedrohungserkennung schneller, einfacher und effizienter.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt 5 min zu lesen Neueste Bedrohungen Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt by Daryna Olyniychuk CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt 4 min zu lesen Neueste Bedrohungen CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt by Daryna Olyniychuk CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung 3 min zu lesen Neueste Bedrohungen CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung by Veronika Telychko
Alle Nachrichten