Operation Exchange-Marauder

[post-views]
März 03, 2021 · 4 min zu lesen
Operation Exchange-Marauder

HAFNIUM APT nutzt Microsoft Exchange Zero-Days aus, um Daten zu stehlen und Malware zu installieren

Im Januar 2021 haben Sicherheitsexperten von Violexity enthüllt eine langfristige bösartige Operation, die von dem mit China verbundenen HAFNIUM APT gegen eine Reihe nicht genannter Organisationen gestartet wurde. Bedrohungsakteure nutzten eine Reihe zuvor nicht offengelegter Zero-Day-Schwachstellen in Microsoft Exchange, um auf sensible Unternehmensinformationen zuzugreifen und nach der Eindringung andere bösartige Aktionen durchzuführen.

Zero-Day-Schwachstellen im Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)

Forscher berichten, dass insgesamt vier neue Zero-Days während der Operation Exchange Marauder aktiv ausgenutzt wurden.

Das erste Problem, das von den HAFNIUM-Bedrohungsakteuren ausgenutzt wird, ist ein serverseitiger Request-Forgery-Bug (SSRF) (CVE-2021-26855), der es einem entfernten, nicht autorisierten Akteur ermöglichen könnte, beliebige HTTP-Anfragen an Port 443 zu senden und sich als Exchange-Server zu authentifizieren. Infolgedessen können Angreifer leicht auf die Unternehmens-Mailboxen zugreifen, ohne spezielles Wissen über das Zielnetzwerk.

Das nächste Zero-Day-Problem, das während der Kampagne verwendet wurde, ist ein unsicherer Deserialisierungs-Bug (CVE-2021-26857) im Unified Messaging Service. Dieses Sicherheitsloch ermöglicht es Hackern, beliebigen Code als SYSTEM auf dem anfälligen Exchange-Server auszuführen. Eine erfolgreiche Ausnutzung erfordert jedoch Administratorrechte oder ein anderes vulnerables Problem, das zuerst ausgenutzt wird.

Die verbleibenden zwei Zero-Days sind nach der Authentifizierung auftretende willkürliche Dateischreibfehler (CVE-2021-26858, CVE-2021-27065), die es ermöglichen, eine Datei an einen beliebigen Pfad auf dem kompromittierten Server zu schreiben. Die Ausnutzung erfordert eine Authentifizierung, die über den SSRF-Mangel (CVE-2021-26855) oder durch das Abgreifen von Administratoranmeldeinformationen erreicht werden kann.

Operation Exchange Marauder: Angriffdetails

Microsoft berichtet dass von chinesischen staatlich unterstützten Akteuren die Kombination der oben genannten Zero-Days genutzt wurde, um Web Shells auf Systemen zu platzieren und E-Mail-Daten sowie Administratoranmeldeinformationen abzugreifen. Zudem gelang es den Angreifern, Zugriff auf das Offline-Adressbuch (OAB) für Exchange zu erhalten. Alle gesammelten Informationen könnten für weitere Aufklärungsarbeiten gegen die Zielorganisationen dienen.

Die während der Operation Exchange Marauder angegriffenen Anbieter bleiben unbenannt. Die vorherigen HAFNIUM APT-Kampagnen lassen jedoch vermuten, dass hochrangige Organisationen in den USA im Fokus stehen könnten. Früher wurden Bedrohungsakteure identifiziert, die verschiedene Vermögenswerte in den USA kompromittierten, einschließlich solcher, die mit Industrieunternehmen, Bildungseinrichtungen, Denkfabriken und Nichtregierungsorganisationen in Verbindung stehen.

Bemerkenswerterweise wurden neben HAFNIUM APT auch mehrere andere Hackergruppen identifiziert, die auf Cyberspionage abzielen und die Zero-Days von Microsoft Exchange in freier Wildbahn nutzen. Insbesondere stellte ESET fest dass die aktive Ausnutzung der SSRF-Schwachstelle (CVE-2021-26855) gegen Einrichtungen in den USA, Deutschland, Frankreich und Kasachstan erfolgt.

Erkennung und Minderung

Laut Microsoft-Beratung, betreffen die neuen Zero-Days Microsoft Exchange Server-Versionen 2010, 2013, 2016 und 2019. Die außerplanmäßigen Patches wurden am 2. März 2021 veröffentlicht, daher werden Benutzer dringend aufgefordert, so schnell wie möglich zu aktualisieren.o-days affect Microsoft Exchange Server versions 2010, 2013, 2016, and 2019. The out-of-band patches were released on March 2, 2021, so users are urged to upgrade as soon as possible.

Angesichts der aktiven Ausnutzung und um eine rechtzeitige Angriffserkennung zu erleichtern, hat das SOC Prime-Team in Zusammenarbeit mit Microsoft dringend eine Reihe kostenloser Sigma-Regeln veröffentlicht, um mögliche bösartige Aktivitäten im Zusammenhang mit den neu entdeckten Zero-Days zu identifizieren.

Mögliche unbekannte Exchange 0 Day März 2021 (via web)

Mögliche HAFNIUM Webshell März 2021 (via web)

Mögliche Exchange CVE-2021-26858 (via file_event)

Powershell Exchange Snapin (via cmdline)

Mögliche Exchange CVE-2021-26858 (via audit)

Powershell öffnet Raw Socket (via cmdline)

Unbekanntes Exchange 0day Relevanter Absturzereignis (via application)

UMWorkerProcess erstellt ungewöhnlichen Kindprozess CVE-2021-26857 (via cmdline)

Update vom 18.03.2021: Um die proaktive Verteidigung gegen mögliche Angriffe, die Microsoft Exchange Zero-Day-Schwachstellen ausnutzen, zu verbessern, hat der aktive Threat Bounty-Entwickler von SOC Prime Emir Erdogan eine Reihe von Community-Sigma-Regeln herausgegeben. Erforschen Sie die Erkennungen über die Links unten.

Post-Exploitation Web-Shell-Zugriff auf Exchange-Server (Web Log User-Agents)

CVE-2021-27065 auf Exchange-Server zur Bereitstellung der CHOPPER Webshell ausgebeutet

Aktive Ausnutzung des Marauder von mehreren Zero-Day-Microsoft-Exchange-Schwachstellen (via WebServer)

Post-Exploitation von Microsoft Exchange Hafnium (via geplante Aufgabe und Proxy)

Mögliches Dateierstellen durch bekannte Prozesse, die Webshells fallen lassen CVE-2021-26858

Bleiben Sie auf dem Laufenden über die neuesten Updates des Threat Detection Marketplace und verpassen Sie nicht die neuen SOC-Inhalte zu diesen schwerwiegenden Problemen. Alle neuen Regeln werden diesem Beitrag hinzugefügt.

Holen Sie sich ein kostenloses Abonnement zum Threat Detection Marketplace, einer weltweit führenden Plattform, die über 96.000 Erkennungs- und Reaktionsregeln für die proaktive Cyber-Verteidigung aggregiert. Möchten Sie Ihre eigenen Erkennungsinhalte erstellen? Treten Sie unserem Threat Bounty Programm bei und tragen Sie zu den globalen Threat-Hunting-Initiativen bei.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko