Сложная хакерская операция длилась более года.
Об инциденте стало известно из сообщения от правительства США, в котором сообщается о том, что хакеры использовали кастомного вредоноса CovalentStealer и набор классов Python под названием Impacket для кражи конфиденциальных данных у американской компании, работающей в секторе оборонной-промышленного комплекса.
В совместном отчете CISA, ФБР и АНБ были приведены технические подробности кибератаки, собранные в ходе ликвидации ее последствий.
Арсенал злоумышленников выглядел следующим образом:
Кастомный вредонос CovalentStealer;
Impacket – набор классов Python с открытым исходным кодом;
RAT HyperBro;
Более десятка образцов веб-оболочки ChinaChopper;
Четыре уязвимости в Exchange Server.
Список использованных уязвимостей:
CVE-2021-26855 – позволяет подделать запрос на стороне сервера (SSRF), это приводит к созданию HTTP-запросов, которые отправляет не аутентифицированный злоумышленник.
CVE-2021-26857 – уязвимость в службе системы обмена сообщениями Exchange. Позволяет использовать произвольный код в системе жертвы.
CVE-2021-26858 – доступна после прохождения аутентификации. Злоумышленники могут использовать эту уязвимость для записи произвольных файлов на сервере.
CVE-2021-27065 – работает в связке с CVE-2021-26855 и позволяет получить доступ к EAC/EPC (Exchange admin center) интерфейсу,
Хотя первоначальный вектор доступа неизвестен, в отчете говорится, что хакеры получили доступ к серверу Exchange организации в середине января 2021 года. На протяжении четырех часов злоумышленники искали почтовые ящики и использовали скомпрометированную учетную запись администратора, принадлежащую бывшему сотруднику, для доступа к API Exchange Web Services (EWS).
Менее чем через месяц, в начале февраля 2021 года, злоумышленники снова получили доступ к сети через VPN, используя те же учетную запись.
Через четыре дня хакеры провели разведку с помощью командной оболочки. Они узнали об окружении жертвы и вручную заархивировали (WinRAR) конфиденциальные данные хранящиеся на общих дисках, подготовив их к эксфильтрации. Файлы были разбиты на фрагменты размером около 3 МБ и расположены на сервере Microsoft Exchange в каталоге CU2\he\debug.
В начале марта хакеры воспользовались вышеперечисленными, чтобы установить не менее 17 веб-оболочек China Chopper на сервер Exchange.
Завершив подготовку, в апреле 2021 года злоумышленники начали закрепляться в системе и медленно продвигаться вглубь. Кроме того, киберпреступники воспользовались Impacket со скомпрометированными учетными данными и получили удаленный доступ с нескольких внешних IP-адресов к Exchange-серверу организации через Outlook Web Access (OWA).
Оказавшись глубоко в сети жертвы, хакеры выкачали все собранные данные с помощью CovalentStealer. Этот этап атаки проходил с конца июля до середины октября 2022 года.
Специалисты CISA уже опубликовали технический анализ CovalentStealer . Им удалось выяснить, что вредонос использует код двух общедоступных утилит: ClientUploader и PowerShell-скрипт Export-MFT, необходимые для загрузки сжатых файлов и извлечения главной файловой таблицы (MFT) из локального тома.
r.С разбором других вредоносов можно ознакомиться по ссылкам: HyperBro , China Chopper .Никаких овечек — только отборные научные факты