Правителствените структури в Близкия изток и Африка са обект на продължителни кибершпионски атаки, при които се използват невиждани досега и редки техники за кражба на пълномощия и ексфилтриране на електронна поща от Exchange.

„Основната цел на атаките е била да се получи изключително поверителна и чувствителна информация, конкретно свързана с политици, военни дейности и министерства на външните работи“, заяви Лиор Рохбергер, старши изследовател на заплахи в Palo Alto Networks, в техническо задълбочено проучване, публикувано миналата седмица.

Екипът за изследване на заплахи Cortex на компанията проследява дейността под временното име CL-STA-0043 (където CL означава клъстер, а STA – държавно подкрепена мотивация), описвайки я като „истинска усъвършенствана постоянна заплаха“.

Веригата от инфекции се задейства чрез използването на уязвими локални услуги Internet Information Services (IIS) и Microsoft Exchange, които служат за проникване в целевите мрежи.

Palo Alto Networks заяви, че е открила неуспешни опити за изпълнение на уеб обвивката China Chopper в една от атаките, което е накарало противника да смени тактиката и да използва имплант на Visual Basic Script в паметта от сървъра Exchange.

Успешният пробив е последван от разузнавателна дейност, за да се картографира мрежата и да се изберат критични сървъри, които съхраняват ценни данни, включително контролери на домейни, уеб сървъри, Exchange сървъри, FTP сървъри и SQL бази данни.

Наблюдава се също така, че CL-STA-0043 използва собствени инструменти на Windows за повишаване на привилегиите, което му позволява да създава администраторски акаунти и да стартира други програми с повишени привилегии.

Друг метод за повишаване на привилегиите е свързан със злоупотреба с функции за достъпност в Windows – т.е. помощната програма „лепкави ключове“ (sethc.exe) – която дава възможност за заобикаляне на изискванията за влизане в системата и за заобикаляне на системите.

„При атаката нападателят обикновено заменя двоичния файл sethc.exe или указателите/препратките към тези двоични файлове в регистъра, с cmd.exe“, обяснява Рохбергер. „Когато се изпълни, той предоставя на атакуващия повишена обвивка с команден ред, за да изпълнява произволни команди и други инструменти.“

Подобен подход, при който се използва Utility Manager (utilman.exe) за установяване на постоянен backdoor достъп до средата на жертвата, беше документиран от CrowdStrike по-рано този април.

Освен че използва Mimikatz за кражба на пълномощия, начинът на действие на заплахата се отличава с използването на други нови методи за кражба на пароли, странично движение и екфилтриране на чувствителни данни, като например.

• Използване на мрежови доставчици за изпълнение на злонамерен DLL за събиране и експортиране на пароли в обикновен текст към отдалечен сървър
• Използване на набор от инструменти за тестване на проникването с отворен код, наречен Yasso, за разпространение в мрежата, и
• Използване на предимствата на Exchange Management Shell и PowerShell модулите за събиране на интересни имейли.

Струва си да се отбележи, че използването на приставките Exchange PowerShell за експортиране на данни за пощенски кутии е докладвано по-рано в случая с китайската държавно спонсорирана група, наречена Silk Typhoon (преди това Hafnium), за която за първи път стана известно през март 2021 г. във връзка с експлоатацията на Microsoft Exchange Server.

„Равнището на сложност, адаптивност и виктимология на тази група за дейност предполагат, че става въпрос за високоспособен APT , и се предполага, че става въпрос за  държавно спонсорирана групировка“, каза Рохбергер.