Вредоносная кампания, в ходе которой активно использовались бреши в ПО Microsoft Exchange Server, приписывается группировке HAFNIUM. Согласно данным исследования компании Volexity, участвовавшей в расследовании инцидентов, атаки могли стартовать как минимум с января текущего года.
Как поясняет центр Microsoft Threat Intelligence Center (MSTIC), чтобы получить начальный доступ к почтовому серверу, хакеры эксплуатировали уязвимость типа SSRF (Server-Side Request Forgery), которая позволила отправлять на Exchange-сервер специально подготовленные HTTP-запросы и таким образом пройти аутентификацию. Уязвимости был присвоен идентификатор CVE-2021-26855. Отмечается, что для успешной атаки уязвимый сервер Exchange должен иметь возможность принимать ненадежные соединения через порт 443.
Дальнейшие действия группировки затрагивали уязвимость CVE-2021-26857 – уязвимость небезопасной десериализации в службе Unified Messaging (служба позволяет использовать в почтовом ящике функции голосовой связи). Успешная эксплуатация уязвимости предоставила злоумышленникам права на выполнение произвольного кода под учетной записью SYSTEM. Чтобы воспользоваться этой уязвимостью, необходимо пройти аутентификацию на Exchange-сервере с правами администратора или сначала воспользоваться другой уязвимостью.
Закрепить удаленный доступ к скомпрометированному хосту удалось благодаря комбинации уязвимости обхода аутентификации (CVE-2021-26855) с CVE-2021-26858 или CVE-2021-27065, позволяющими записывать на Exchange-сервере произвольные файлы. В частности, в блоге Microsoft говорится, что операторы HAFNIUM использовали эти бреши для развертывания оболочек в целевых системах, таким образом обеспечивая бэкдор в скомпрометированной сети.
Установив контроль над уязвимым сервером, хакеры получили возможность передавать похищенную информацию (учетные данные и данные почтовых ящиков пользователей) на свой удаленный сервер – для этого использовались файлообменники такие, как.
вредоносной кампании также дополнено индикаторами компрометации (IoC), такими как хэши веб-оболочек, пути их расположения на сервере, имена файлов, используемые инструменты. Компания Volexity собственный анализ с IoC-ами.
Специалисты Microsoft привели для защиты серверов, в том числе альтернативные меры, а также разработали, который можно использовать для проверки всех серверов Exchange на наличие признаков эксплуатации уязвимостей CVE-2021-26855, 26858, 26857 и 27065.
Следует отметить, что выпущенные обновления безопасности устраняют несколько других уязвимостей, эксплуатация которых пока не была обнаружена.
«Основной рекомендацией остается обновить Exchange до последней поддерживаемой версии, согласно официальному, – комментирует директор Центра киберустойчивости ACRC Тимур Зиннятуллин. – Однако следует учесть, что патчи сами по себе не решат проблемы для информационных инфраструктур, где злоумышленники уже успели проэксплуатировать уязвимость и закрепиться. Одна из техник защиты, которая может помочь вытеснить злоумышленников из скомпрометированной инфраструктуры, это контроль обнаружения известных на текущий момент IoC-ов, и последующий ретроспективный анализ с использованием уже будущих IoC-ов. Что особенно важно, ведь учитывая, что атаки с использованием найденных уязвимостей активно применяются in the wild, злоумышленники будут постоянно работать над тем, чтобы избежать обнаружения по уже известным индикаторам компрометации».
Центр киберустойчивости ACRC предлагает своим клиентам собственное решение, на базе которого аналитики-эксперты нашего SOC в удаленном формате готовы осуществлять мониторинг событий ИБ, отслеживая подозрительную активность в системе заказчика и оперативно реагируя на выявленные инциденты ИБ.
