Rilevare Nuove Tecniche di Sfruttamento di ProxyShell
Indice:
Assicurati di aver protetto i tuoi Microsoft Exchange Server contro le vulnerabilità di ProxyShell poiché gli hacker stanno inventando nuovi trucchi per trarre vantaggio dalle istanze esposte. Attualmente, i ricercatori osservano più campagne di phishing che utilizzano le nefande falle per la distribuzione di malware. Inoltre, i bug di ProxyShell vengono sempre più utilizzati in una serie di operazioni mirate all’infezione da ransomware.
Nuove catene di attacco per fornire una moltitudine di minacce
Secondo l’ultimo studio di Mandiant, gli avversari sfruttano le vulnerabilità di ProxyShell per rilasciare webshell sui sistemi esposti in modo innovativo e furtivo. In alcune delle intrusioni analizzate, la fase di webshell è completamente omessa, con gli aggressori che si affidano a caselle di posta privilegiate nascoste per prendere il controllo degli account e svolgere altre azioni clandestine.
Con il flusso di sfruttamento aggiornato per ProxyShell, si è verificata una valanga di attacchi. Ad esempio, il rapporto DFIR dettaglia un’operazione nefasta di APT35 (Charming Kitten, TA453) lanciata a fine settembre 2021. Il collettivo di hacker ha utilizzato gli exploit di ProxyShell per eseguire ricognizioni sui sistemi attaccati, procedere con il dump di LSASS e proxy di connessioni RDP nell’ambiente. Di conseguenza, l’attore è riuscito a infettare i sistemi a livello di dominio utilizzando campioni di ransomware BitLocker e DiskCryptor.
Un’altra campagna dannosa che sfrutta le vulnerabilità di ProxyShell è stata recentemente descritta da Trend Micro. In particolare, gli aggressori hanno sfruttato le vulnerabilità ProxyShell e ProxyLogon per replicare e-mail esistenti e infettare le vittime con SquirrelWaffle loader. E-mail di phishing consegnano file Word ed Excel manomessi con macro dannose. Se abilitati, uno script lancia un loader DLL che a sua volta scarica il payload di SquirrelWaffle. Il campione finale dannoso è CobaltStrike o Qbot. Il ricercatore sulla sicurezza informatica TheAnalyst fornisce ulteriori dettagli su questa campagna, affermando che dietro ci sia il collettivo TA557 (tr01/TR).
Vulnerabilità di ProxyShell
ProxyShell è un unico titolo per un trio di falle separate (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) che, se concatenati, consentono agli hacker di raggiungere il livello di accesso amministrativo ed eseguire codice remoto sui server Microsoft Exchange vulnerabili. Sono interessate più versioni di Exchange Server, comprese quelle del 2013, 2016 e 2019.
Sebbene le falle di ProxyShell siano state pubblicamente divulgate a luglio, Microsoft ha affrontato questi noti problemi di sicurezza già a maggio 2021. Tutti gli utenti con patch di maggio o luglio installate hanno i loro sistemi sicuri. Tuttavia, una recente ricerca su Shodan indica che più di 23.000 server sono ancora esposti a intrusioni, consentendo agli hacker di compromettere i sistemi in tutto il mondo.
Nuovo rilevamento degli attacchi ProxyShell
Per aiutare i professionisti della sicurezza a rilevare attività dannose associate ai nuovi tentativi di sfruttamento di ProxyShell, è possibile scaricare un batch di contenuti di rilevamento dedicati disponibile nel repository del Threat Detection Marketplace:
Esecuzione ransomware Conti con exploit ProxyShell
Sfruttamento Exchange / Ransomware
Cerchi i migliori contenuti SOC compatibili con le tue soluzioni SIEM, EDR e NTDR in uso? Esplora la piattaforma Detection as Code di SOC Prime per affrontare i tuoi casi d’uso personalizzati, potenziare la scoperta e la caccia alle minacce, e ottenere una visualizzazione completa dei progressi del tuo team. Sei appassionato di minacce e desideroso di contribuire alla prima libreria di contenuti SOC del settore? Unisciti al nostro Threat Bounty Program!
