APT35 Usa Vulnerabilidades de ProxyShell para Desplegar Múltiples WebShells
Tabla de contenidos:
En los últimos meses, los investigadores han observado un nuevo brote de ataques APT35 patrocinados por el estado iraní. Un nuevo estudio muestra que APT35 (también conocido como TA453, COBALT ILLUSION, Charming Kitten, ITG18, Phosphorus, Newscaster) ha estado explotando cada vez más las vulnerabilidades de Microsoft Exchange ProxyShell para el acceso inicial y utilizando una gran variedad de vectores de ataque una vez que han ganado acceso a las redes de las víctimas.
Desplázate hacia abajo para ver nuestras últimas reglas de detección que ayudarán a los equipos SOC a identificar la última actividad de APT35 durante y después de la explotación de ProxyShell.
Detección de Ataques de APT35 Involucrando ProxyShell
APT35 no se detiene simplemente explotando las vulnerabilidades de Microsoft Exchange ProxyShell después de sus campañas de acceso inicial. Descubre las reglas a continuación creadas por nuestros desarrolladores de Threat Bounty Furkan Celik, Osman Demir, Nattatorn Chuensangarun y Aytek Aytemur para detectar la ejecución de un Webshell, la persistencia de actores de amenazas y el acceso a credenciales. Inicia sesión en tu cuenta en nuestra plataforma para acceder inmediatamente a las reglas Sigma, así como a más de 20 traducciones a formatos específicos de proveedores para una fácil implementación.
Estas reglas abordan las siguientes técnicas del marco MITRE ATT&CK® v.10: Explotación de Aplicaciones Expuestas al Público, Tarea/Trabajo Programado, Descubrimiento de Información del Sistema, Explotación para Acceso a Credenciales, y Volcado de Credenciales del SO.
Además, las reglas a continuación te ayudarán a detectar la explotación de vulnerabilidades de ProxyShell antes de que se activen las tácticas post-explotación:
Patrón de ProxyShell de Exchange
Ataque Exitoso de ProxyShell de Exchange
CVE-2021-34473 Ejecución Remota de Código en Exchange Server (Proxyshell)
Haz clic en el botón de abajo para verificar el contenido de detección más reciente asociado con el último cambio en las tácticas de APT35. Y si tienes hallazgos adicionales que te gustaría compartir, te animamos a participar en nuestra iniciativa de crowdsourcing enviando tus propias reglas de detección.
Ver Detecciones Únase a Threat Bounty
Explotación de las Vulnerabilidades de ProxyShell
Vulnerabilidades de ProxyShell (CVE-2021-31207, CVE-2021-34523, CVE-2021-34473) permiten la ejecución remota de código en Microsoft Exchange. Fueron detalladas por el investigador de seguridad Orange Tsai y reveladas por primera vez en abril de 2021 en el concurso de hacking Pwn2Own en Vancouver.
Recientemente, se observó a los hackers de APT35 aprovechando los exploits de ProxyShell para alcanzar sus propósitos maliciosos. En particular, los investigadores sugieren que APT35 ha estado utilizando scripts automatizados para el acceso inicial y actividades posteriores porque la misma secuencia y naturaleza de comandos se repitieron en diferentes casos en un corto período de tiempo.
En las etapas iniciales del ataque, los adversarios cargan un web shell y deshabilitan cualquier software antivirus. Luego, siguen con dos métodos de persistencia: tareas programadas y una nueva cuenta creada. Esta última se añade a grupos de administradores locales y usuarios remotos.
Justo después de eso, los atacantes enumeraron el entorno con la ayuda de programas nativos de Windows como net e ipconfig, deshabilitando la protección LSA, habilitando WDigest, volcando la memoria del proceso LSASS y descargando los resultados usando el web shell.
Para mantenerse por delante de las amenazas emergentes, las organizaciones están mirando hacia un enfoque de defensa colaborativa. Aprovecha el poder de la experiencia brindada por la comunidad global de las mentes más brillantes en ciberseguridad registrándote en la plataforma de SOC Prime’s Detection as Code. Racionaliza tus operaciones SOC y haz que la detección de amenazas sea más rápida, fácil y eficiente.
