新しいProxyShellエクスプロイトフローの検出

Microsoft Exchange Server を ProxyShell の脆弱性 から保護していることを確認してください。ハッカーは新しい手口を考案して公開されたインスタンスを利用しています。現在、研究者たちは、マルウェア配信のために悪質な欠陥を利用する複数のフィッシングキャンペーンを観察しています。さらに、ProxyShell のバグは、ランサムウェア感染を目的としたさまざまなオペレーションでますます使用されるようになっています。

多数の脅威を配信する新たな攻撃連鎖

最近の 調査 によれば、Mandiant の調査によると、敵対者は ProxyShell の欠陥を利用して、公開されたシステムに対して革新的で隠密な方法でウェブシェルを配置します。分析された侵入のいくつかでは、ウェブシェル段階が完全に省略され、攻撃者は隠された特権付きメールボックスを利用してアカウントを奪い、他の隠密な行動を実行しています。

ProxyShell の改訂されたエクスプロイトフローにより、多数の攻撃が発生しました。例えば、 DFIR レポート によると、APT35 (Charming Kitten, TA453) による悪質なオペレーションが 2021 年 9 月下旬に開始されました。ハッカー集団は ProxyShell エクスプロイトを使用して攻撃されたシステムでの偵察を行い、LSASS をダンプし、RDP 接続をプロキシして環境に侵入しました。その結果、攻撃者は BitLocker と DiskCryptor のランサムウェアサンプルを使用してシステム全体を感染させることに成功しました。

ProxyShell の脆弱性を悪用した別の悪質なキャンペーンが最近 詳述されています Trend Micro によって。特に、攻撃者は ProxyShell と ProxyLogon の欠陥を利用して、既存のメールスレッドへの返信を乗っ取って SquirrelWaffle ローダーで被害者を感染させました。フィッシングメールは悪意のあるマクロを特徴とするトラップされた Word および Excel ファイルを配信します。有効化された場合、スクリプトは DLL ローダーを起動し、それが順番に SquirrelWaffle のペイロードをダウンロードします。最終的な悪質なサンプルは CobaltStrike か Qbot に変化する可能性があります。 TheAnalyst サイバーセキュリティ研究者はこのキャンペーンの追加の 詳細 を提供し、TA557 (tr01/TR) 集団がその背後にいると主張しています。

ProxyShell の脆弱性

ProxyShell は、(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) という3つの別々の欠陥の総称であり、連鎖されると、ハッカーが管理者レベルのアクセス権を得て、脆弱な Microsoft Exchange サーバー上でリモートコードを実行することが可能です。2013、2016、および2019を含む複数の Exchange Server バージョンが影響を受けています。

ProxyShell の欠陥は 7 月に公表されましたが、Microsoft はこの悪名高いセキュリティの問題を 2021 年 5 月に対処しました。5 月または 7 月のパッチをインストールしたすべてのユーザーは、システムを安全にしています。しかし、最近の Shodan 検索では、23,000 台以上のサーバーが依然として侵入にさらされており、ハッカーが世界中のシステムを危険にさらすことができています。 May or July patches installed have their systems secure. Yet, the recent Shodan search indicates over 23,000 servers being still exposed to intrusions, enabling hackers to compromise systems worldwide.

新しい ProxyShell 攻撃の検知

新しい ProxyShell のエクスプロイト試行に関連する悪意のある活動をセキュリティの専門家が検出するのを支援するために、Threat Detection Marketplace リポジトリで利用可能な一連の専用検出コンテンツをダウンロードできます。

新しい ProxyShell [CVE-2021-34473/CVE-2021-34523/CVE-2021-31207] エクスプロイトによるウェブシェル書き込み [ProxyNoShell] (プロセス作成を経由)

ProxyShell エクスプロイト使用の Conti ランサムウェア実行

新しい ProxyShell [CVE-2021-34473/CVE-2021-34523/CVE-2021-31207] エクスプロイトフロー [ProxyNoShell] (レジストリイベント経由)

エクスチェンジエクスプロイト / ランサムウェア

使用中の SIEM、EDR、および NTDR ソリューションに互換性のある最高の SOC コンテンツを検索していますか？SOC Prime の Detection as Code プラットフォームを探索して、カスタムユースケースに対応し、脅威検出と脅威ハンティングを強化し、チームの進捗の完全な視覚化を得てください。脅威ハンティングに情熱を持ち、業界初の SOC コンテンツライブラリに貢献したいですか？Threat Bounty プログラムに参加しましょう！

プラットフォームに移動 Threat Bounty に参加