APT35 Usando Vulnerabilidades do ProxyShell para Implantar Múltiplos WebShells
Índice:
Nos últimos meses, pesquisadores observaram um novo surto de ataques APT35 patrocinados pelo Estado iraniano. Um novo estudo mostra que APT35 (também conhecido como TA453, COBALT ILLUSION, Charming Kitten, ITG18, Phosphorus, Newscaster) tem explorado cada vez mais as vulnerabilidades Exchange ProxyShell da Microsoft para acesso inicial e aproveitando uma variedade de vetores de ataque diferentes, uma vez que ganharam acesso às redes das vítimas.
Role para baixo para ver nossas últimas regras de detecção que ajudarão as equipes de SOC a identificar a atividade mais recente do APT35 durante e após a exploração do ProxyShell.
Detectando Ataques APT35 Envolvendo ProxyShell
APT35 não se limita a simplesmente explorar as vulnerabilidades do Microsoft Exchange ProxyShell após suas campanhas de acesso inicial. Descubra as regras abaixo criadas por nossos desenvolvedores do Threat Bounty, Furkan Celik, Osman Demir, Nattatorn Chuensangarun e Aytek Aytemur, para identificar a execução de uma Webshell, a persistência dos agentes de ameaça e o acesso a credenciais. Faça login em sua conta em nossa plataforma para acessar imediatamente as regras Sigma, bem como 20+ traduções para formatos específicos de fornecedores para fácil implantação.
Possível Acesso Inicial APT35 por Execução de Webshell Após Exploração de ProxyShell (via ps_script)
Estas regras abordam as seguintes técnicas do framework MITRE ATT&CK® v.10: Exploit Public-Facing Application, Scheduled Task/Job, System Information Discovery, Exploitation for Credential Access, e OS Credential Dumping.
Além disso, as regras abaixo ajudarão a detectar a exploração das vulnerabilidades do ProxyShell antes que táticas de pós-exploração sejam acionadas:
Ataque ProxyShell do Exchange Bem-Sucedido
CVE-2021-34473 Exchange Server RCE (Proxyshell)
Clique no botão abaixo para verificar o conteúdo de detecção mais recente associado à mudança mais recente nas táticas de APT35. E se tiver algum achado adicional que deseja compartilhar, você é incentivado a participar da nossa iniciativa de crowdsourcing enviando suas próprias regras de detecção.
Ver Detecções Participar do Threat Bounty
Exploração das Vulnerabilidades do ProxyShell
Vulnerabilidades do ProxyShell (CVE-2021-31207, CVE-2021-34523, CVE-2021-34473) permitem execução remota de código no Microsoft Exchange. Elas foram detalhadas pelo pesquisador de segurança Orange Tsai e reveladas pela primeira vez em abril de 2021 na competição de hacking Pwn2Own em Vancouver.
Recentemente, hackers APT35 foram vistos aproveitando-se dos exploits do ProxyShell para atingir seus objetivos maliciosos. Em particular, os pesquisadores sugerem que o APT35 tem utilizado scripts automatizados para acesso inicial e atividades subsequentes porque a mesma sequência e natureza dos comandos foram repetidos em diferentes casos em um curto espaço de tempo.
Nos estágios iniciais do ataque, adversários carregam um web shell e desativam qualquer software antivírus. Em seguida, eles prosseguem com dois métodos de persistência: tarefas agendadas e uma conta recém-criada. Esta última é adicionada aos grupos de administradores locais e usuários remotos.
Logo depois, os atacantes enumeraram o ambiente com a ajuda dos programas nativos do Windows, como net e ipconfig, desativando a proteção LSA, ativando o WDigest, despejando a memória do processo LSASS e baixando os resultados usando o web shell.
Para continuar à frente das ameaças emergentes, as organizações estão voltando suas atenções para uma abordagem de defesa colaborativa. Aproveite o poder da expertise fornecido pela comunidade global das mentes mais brilhantes da cibernética registrando-se na plataforma Detection as Code da SOC Prime . Aprimore suas operações de SOC e torne a detecção de ameaças mais rápida, fácil e eficiente.
