4 марта 2021 г.
Китайские хакеры, финансируемые государством, атаковали локальные серверы Microsoft Exchange, используя эксплойты нулевого дня, что позволило им получить длительный доступ к среде жертв.
Microsoft сообщила, что хакеры воспользовались ранее неизвестными уязвимостями для проведения ограниченных прицельных атак на локальные серверы Exchange. Это позволило получить доступ к учетным записям электронной почты, что, в свою очередь, позволило установить дополнительное вредоносное ПО, дающее возможность доступа в течение длительного времени.
Группа исследования киберугроз в Microsoft (Threat Intelligence Center) полагает, что за этим стоит финансируемая государством хакерская группа Hafnium из Китая, которая осуществляет свои атаки главным образом с арендованных виртуальных частных серверов в США. Hafnium нацеливает атаки на группы изучения инфекционных заболеваний в США, центры политических исследований, высшие учебные заведения, юридические фирмы, подрядчиков Министерства обороны и неправительственные организации с целью кражи информации.
«Мы делимся необходимыми сведениями с нашими клиентами и сообществом специалистов кибербезопасности, подчеркивая критичность этих уязвимостей и важность их немедленного устранения, чтобы защитить все затронутые системы от этих эксплойтов и предотвратить злоупотребления в экосистеме в будущем», — сообщает в блоге Microsoft Threat Intelligence Center.
Китайские хакеры получают первоначальный доступ к Exchange Server либо с помощью украденных паролей, либо используя эксплойты нулевого дня, маскируясь под кого-то, имеющего доступ, пояснил Том Бёрт (Tom Burt), корпоративный вице-президент Microsoft по безопасности и доверию клиентов, в своем блоге во вторник. После этого хакеры создают веб-оболочку, чтобы дистанционно управлять взломанным сервером, и затем используют удаленный доступ, осуществляя его с частных серверов в США, для кражи данных из сети организации.
Атаки Hafnium не затрагивают Exchange Online и никак не связаны с масштабной атакой через SolarWinds, которая проводилась российской службой внешней разведки, добавил Бёрт. Microsoft проинформировала надлежащие государственные органы США об атаке.
«Мы постарались быстро разослать апдейт для устранения эксплойтов, использованных Hafnium, но подчеркиваем, что многие финансируемые государством акторы и преступные группы будут действовать быстро, чтобы воспользоваться незащищенностью любых оставшихся систем, — пишет в блоге Бёрт. — Срочная установка сегодняшних патчей — лучшая защита от такой атаки».
Volexity, предоставляющая услуги реагирования на ИБ-инциденты, впервые обнаружила аномальное поведение на двух серверах Microsoft Exchange своих клиентов 6 января. Большие объемы данных отсылались на IP-адреса, никак не связанные с законными пользователями. Volexity сообщила, что наблюдает продолжающееся активное использование нескольких уязвимостей Microsoft Exchange для кражи электронной почты и взлома сетей, и взаимодействует с Microsoft в расследовании.
Volexity рассказала, что хакеры воспользовались одной уязвимостью, чтобы украсть всё содержимое нескольких почтовых ящиков пользователей, — для этого потребовалось лишь знать сервер, на котором запущен Exchange, и учетную запись, откуда нужно извлечь почту. Эксплойт может осуществляться удаленно и не требует ни какой-либо аутентификации, ни каких-то специальных знаний или доступа к целевой среде, сообщает компания.
«Volexity наблюдала, как взломщик записывал веб-оболочку на диск и выполнял дальнейшие операции, чтобы сделать дамп учетных данных, добавить аккаунты, украсть копии базы данных Active Directory и перейти дальше на другие системы и сегменты среды», — сообщает компания в блоге, опубликованном во вторник.
Первая из найденных уязвимостей позволила Hafnium посылать произвольные HTTP-запросы и аутентифицироваться как сервер Exchange, сообщает Microsoft Threat Intelligence Center. Вторая уязвимость требовала прав администратора или использования другой уязвимости и позволяла запускать код как системный на сервере Exchange.
Если хакерам удавалось аутентифицироваться на сервере Exchange, то они могли захватить аккаунт законного администратора либо воспользоваться третьей или четвертой уязвимостью Microsoft, чтобы записать файл по любому пути на сервере. Также они могли скачать автономную адресную книгу Exchange из взломанных систем, которая содержит информацию об организации и ее пользователях.
«Использовав эти уязвимости для получения первичного доступа, операторы Hafnium размещали веб-оболочку на взломанном сервере, — поясняет в блоге Microsoft Threat Intelligence Center. — Потенциально, веб-оболочки позволяют взломщикам красть данные и выполнять другие злонамеренные действия, ведущие к дальнейшему взлому».
© 2021. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США