APT35 utilizza le vulnerabilità ProxyShell per distribuire più WebShell
Indice:
Negli ultimi mesi, è stato osservato dai ricercatori un nuovo impulso di attacchi APT35 sponsorizzati dallo stato iraniano. Un nuovo studio mostra che APT35 (alias TA453, COBALT ILLUSION, Charming Kitten, ITG18, Phosphorus, Newscaster) ha sfruttato sempre più le vulnerabilità di Microsoft Exchange ProxyShell per l’accesso iniziale e ha utilizzato una serie di diversi vettori di attacco una volta ottenuto l’accesso alle reti delle vittime.
Scorri verso il basso per vedere le nostre ultime regole di rilevamento che aiuteranno i team SOC a identificare l’attività più recente di APT35 durante e dopo l’exploit ProxyShell.
Rilevamento degli Attacchi APT35 Coinvolgendo ProxyShell
APT35 non si ferma sfruttando semplicemente le vulnerabilità Microsoft Exchange ProxyShell dopo le campagne di accesso iniziale. Scopri le regole qui sotto create dai nostri sviluppatori Threat Bounty Furkan Celik, Osman Demir, Nattatorn Chuensangarun e Aytek Aytemur per individuare l’esecuzione di una Webshell, la persistenza degli attori della minaccia e l’accesso alle credenziali. Accedi al tuo account sulla nostra piattaforma per accedere immediatamente alle regole Sigma, nonché a oltre 20 traduzioni in formati specifici del fornitore per una facile implementazione.
Queste regole riguardano le seguenti tecniche del framework MITRE ATT&CK® v.10: Exploit Public-Facing Application, Scheduled Task/Job, System Information Discovery, Exploitation for Credential Access e OS Credential Dumping.
Inoltre, le regole sottostanti ti aiuteranno a rilevare lo sfruttamento delle vulnerabilità ProxyShell prima che vengano attivate le tattiche di post-exploit:
Attacco Exchange ProxyShell Riuscito
CVE-2021-34473 Exchange Server RCE (Proxyshell)
Premi il pulsante qui sotto per controllare i contenuti di rilevamento più recenti associati al cambiamento delle tattiche di APT35. E se hai altre scoperte che desideri condividere, sei incoraggiato a partecipare alla nostra iniziativa di crowdsourcing inviando le tue regole di rilevamento.
Visualizza Rilevamenti Unisciti a Threat Bounty
Sfruttamento delle Vulnerabilità ProxyShell
Vulnerabilità ProxyShell (CVE-2021-31207,CVE-2021-34523,CVE-2021-34473) consentono l’esecuzione di codice remoto in Microsoft Exchange. Sono state dettagliate dal ricercatore di sicurezza Orange Tsai e rivelate per la prima volta nell’aprile 2021 al contest di hacking Pwn2Own a Vancouver.
Recentemente, gli hacker APT35 sono stati individuati a sfruttare gli exploit ProxyShell per raggiungere i loro scopi malevoli. In particolare, i ricercatori suggeriscono che APT35 abbia utilizzato script automatizzati per l’accesso iniziale e ulteriori attività poiché la stessa sequenza e natura dei comandi sono stati ripetuti in diversi casi in un breve lasso di tempo.
Nelle fasi iniziali dell’attacco, gli avversari caricano una web shell e disabilitano qualsiasi software antivirus. Successivamente, seguono con due metodi di persistenza: attività pianificate e un nuovo account creato. Quest’ultimo viene aggiunto ai gruppi di amministratori locali e utenti remoti.
Subito dopo, gli aggressori hanno enumerato l’ambiente con l’aiuto di programmi nativi di Windows come net e ipconfig, disabilitando la protezione LSA, abilitando WDigest, eseguendo il dumping della memoria del processo LSASS e scaricando i risultati utilizzando la web shell.
Per rimanere all’avanguardia contro le minacce emergenti, le organizzazioni stanno rivolgendo la loro attenzione a un approccio alla difesa collaborativa. Sfrutta la potenza dell’esperienza fornita dalla comunità globale delle menti cyber più brillanti registrandoti a SOC Prime’s Detection as Code piattaforma. Semplifica le operazioni SOC e rendi il rilevamento delle minacce più veloce, facile ed efficiente.
