Detección del Nuevo Flujo de Explotación de ProxyShell
Tabla de contenidos:
Asegúrese de haber asegurado sus servidores Microsoft Exchange contra vulnerabilidades de ProxyShell ya que los hackers están inventando nuevos trucos para beneficiarse de las instancias expuestas. Actualmente, los investigadores observan múltiples campañas de phishing que utilizan las fallas nefastas para la entrega de malware. Además, las vulnerabilidades de ProxyShell se utilizan cada vez más en una variedad de operaciones dirigidas a la infección por ransomware.
Nuevas cadenas de ataque para entregar multitud de amenazas
Según la reciente investigación por Mandiant, los adversarios aprovechan las fallas de ProxyShell para desplegar webshells en los sistemas expuestos de una manera innovadora y sigilosa. En algunas de las intrusiones analizadas, se omite por completo la etapa del webshell, y los atacantes se apoyan en buzones de correo privilegiados ocultos para tomar el control de las cuentas y realizar otras acciones encubiertas.
Con el flujo de explotación actualizado para ProxyShell, se desató una avalancha de ataques. Por ejemplo, el informe DFIR detalla una operación nefasta del APT35 (Charming Kitten, TA453) lanzada a finales de septiembre de 2021. El colectivo de hackers utilizó exploits de ProxyShell para realizar reconocimiento en los sistemas atacados, proceder con el volcado de LSASS y canalizar conexiones RDP al entorno. Como resultado, el actor logró infectar sistemas en todo el dominio utilizando muestras de ransomware BitLocker y DiskCryptor.
Otra campaña maliciosa que explota las vulnerabilidades de ProxyShell fue recientemente detallada por Trend Micro. En particular, los atacantes aprovecharon las fallas de ProxyShell y ProxyLogon para enviar correos maliciosos como respuesta a los hilos de correo existentes e infectar a las víctimas con el cargador SquirrelWaffle. Los correos de phishing entregan archivos de Word y Excel con macros maliciosas. En caso de ser activadas, un script inicia un cargador DLL que, a su vez, descarga la carga de SquirrelWaffle. La muestra final maliciosa es CobaltStrike o Qbot. ElAnalista investigador de ciberseguridad proporciona detalles adicionales de esta campaña, afirmando que el colectivo TA557 (tr01/TR) está detrás de ella.
Vulnerabilidades de ProxyShell
ProxyShell es un único título para una tríada de fallas separadas (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que, si se encadenan, permiten a los hackers llegar al nivel de administrador de acceso y realizar ejecución remota de código en servidores Microsoft Exchange vulnerables. Se ven afectadas múltiples versiones de Exchange Server, incluidas 2013, 2016 y 2019.
Aunque las fallas de ProxyShell se divulgaron públicamente en julio, Microsoft abordó estos notorios problemas de seguridad en mayo de 2021. Todos los usuarios con parches de mayo o julio instalados tienen sus sistemas seguros. Sin embargo, la reciente búsqueda en Shodan indica que más de 23,000 servidores siguen expuestos a intrusiones, lo que permite a los hackers comprometer sistemas a nivel mundial.
Nueva detección de ataques ProxyShell
Para ayudar a los profesionales de seguridad a detectar actividades maliciosas asociadas con nuevos intentos de explotación de ProxyShell, puede descargar un lote de contenido de detección dedicado disponible en el repositorio del Threat Detection Marketplace:
Ejecución de ransomware Conti con exploit ProxyShell
Explotación de Exchange / Ransomware
¿Buscando el mejor contenido de SOC compatible con sus soluciones SIEM, EDR y NTDR en uso? Explore la plataforma Detection as Code de SOC Prime para abordar sus casos de uso personalizados, mejorar el descubrimiento de amenazas y la búsqueda de amenazas, y obtener una visualización completa del progreso de su equipo. ¿Apasionado por la búsqueda de amenazas y ansioso por contribuir a la primera biblioteca de contenido SOC de la industria? ¡Únase a nuestro Programa de Recompensas por Amenazas!
Ir a la plataforma Unirse al Programa de Recompensas por Amenazas
