Detectando Novo Fluxo de Exploração do ProxyShell
Índice:
Certifique-se de que você tenha protegido seus servidores Microsoft Exchange contra vulnerabilidades ProxyShell já que os hackers estão inventando novas artimanhas para se beneficiar das instâncias expostas. Atualmente, pesquisadores observam múltiplas campanhas de phishing que utilizam as falhas nefastas para entrega de malware. Além disso, os bugs do ProxyShell estão sendo usados cada vez mais em uma variedade de operações destinadas à infecção por ransomware.
Novas Cadeias de Ataques para Entregar Uma Multidão de Ameaças
De acordo com a recente investigação da Mandiant, os adversários aproveitam as falhas do ProxyShell para introduzir webshells nos sistemas expostos de uma maneira inovadora e discreta. Em algumas das intrusões analisadas, a etapa do webshell é completamente omitida, com os atacantes contando com caixas de correio privilegiadas ocultas para assumir contas e realizar outras ações encobertas.
Com o fluxo de exploração atualizado para o ProxyShell, uma avalanche de ataques irrompeu. Por exemplo, o relatório DFIR detalha uma operação nefasta pela APT35 (Charming Kitten, TA453) lançada no final de setembro de 2021. O coletivo hacker usou explorações do ProxyShell para realizar reconhecimento nos sistemas atacados, proceder com a extração de LSASS e transconexão RDP no ambiente. Como resultado, o ator conseguiu infectar sistemas em todo o domínio usando amostras de ransomware BitLocker e DiskCryptor.
Outra campanha maliciosa explorando vulnerabilidades do ProxyShell foi recentemente detalhada pela Trend Micro. Particularmente, os atacantes aproveitaram as falhas do ProxyShell e ProxyLogon para respostas malspam em discussões de e-mail existentes e infectar vítimas com o carregador SquirrelWaffle. Emails de phishing entregam arquivos Word e Excel embutidos com macros maliciosas. Caso habilitados, um script lança um carregador DLL que por sua vez baixa a carga SquirrelWaffle. A amostra maliciosa final é ou CobaltStrike ou Qbot. OAnalista pesquisador de cibersegurança fornece informações adicionais detalhes desta campanha, alegando que o coletivo TA557 (tr01/TR) está por trás dela.
Vulnerabilidades ProxyShell
ProxyShell é um título único para um trio de falhas separadas (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que, se encadeadas, permitem que hackers alcancem o nível de acesso administrativo e realizem execução remota de código em servidores Microsoft Exchange vulneráveis. Múltiplas versões do Exchange Server são afetadas, incluindo 2013, 2016 e 2019.
Embora as falhas do ProxyShell tenham sido divulgadas publicamente em julho, a Microsoft abordou esses notórios problemas de segurança em maio de 2021. Todos os usuários com correções de maio ou julho instaladas têm seus sistemas seguros. No entanto, a recente busca no Shodan indica mais de 23.000 servidores ainda expostos a intrusões, permitindo que hackers comprometam sistemas em todo o mundo.
Detecção de Novos Ataques ProxyShell
Para ajudar os profissionais de segurança a detectar atividades maliciosas associadas a novas tentativas de exploração do ProxyShell, você pode baixar um lote de conteúdo de detecção dedicado disponível no repositório Threat Detection Marketplace:
Execução de Ransomware Conti com Exploit ProxyShell
Exploit do Exchange / Ransomware
Procurando o melhor conteúdo SOC compatível com suas soluções SIEM, EDR e NTDR em uso? Explore a plataforma Detection as Code da SOC Prime para abordar seus casos de uso personalizados, aprimorar a descoberta de ameaças e a caça de ameaças, e obter uma visualização completa do progresso de sua equipe. Apaixonado por caça de ameaças e ansioso para contribuir com a primeira biblioteca de conteúdo SOC da indústria? Participe do nosso Programa de Recompensas por Ameaças!
Ir para a Plataforma Participe do Programa de Recompensas por Ameaças
