Правителствените структури в Близкия изток и Африка са обект на продължителни кибершпионски атаки, при които се използват невиждани досега и редки техники за кражба на пълномощия и ексфилтриране на електронна поща от Exchange.
„Основната цел на атаките е била да се получи изключително поверителна и чувствителна информация, конкретно свързана с политици, военни дейности и министерства на външните работи“, заяви Лиор Рохбергер, старши изследовател на заплахи в Palo Alto Networks, в техническо задълбочено проучване, публикувано миналата седмица.
Екипът за изследване на заплахи Cortex на компанията проследява дейността под временното име CL-STA-0043 (където CL означава клъстер, а STA – държавно подкрепена мотивация), описвайки я като „истинска усъвършенствана постоянна заплаха“.
Веригата от инфекции се задейства чрез използването на уязвими локални услуги Internet Information Services (IIS) и Microsoft Exchange, които служат за проникване в целевите мрежи.
Palo Alto Networks заяви, че е открила неуспешни опити за изпълнение на уеб обвивката China Chopper в една от атаките, което е накарало противника да смени тактиката и да използва имплант на Visual Basic Script в паметта от сървъра Exchange.
Успешният пробив е последван от разузнавателна дейност, за да се картографира мрежата и да се изберат критични сървъри, които съхраняват ценни данни, включително контролери на домейни, уеб сървъри, Exchange сървъри, FTP сървъри и SQL бази данни.
Наблюдава се също така, че CL-STA-0043 използва собствени инструменти на Windows за повишаване на привилегиите, което му позволява да създава администраторски акаунти и да стартира други програми с повишени привилегии.
Друг метод за повишаване на привилегиите е свързан със злоупотреба с функции за достъпност в Windows – т.е. помощната програма „лепкави ключове“ (sethc.exe) – която дава възможност за заобикаляне на изискванията за влизане в системата и за заобикаляне на системите.
„При атаката нападателят обикновено заменя двоичния файл sethc.exe или указателите/препратките към тези двоични файлове в регистъра, с cmd.exe“, обяснява Рохбергер. „Когато се изпълни, той предоставя на атакуващия повишена обвивка с команден ред, за да изпълнява произволни команди и други инструменти.“
Подобен подход, при който се използва Utility Manager (utilman.exe) за установяване на постоянен backdoor достъп до средата на жертвата, беше документиран от CrowdStrike по-рано този април.
Освен че използва Mimikatz за кражба на пълномощия, начинът на действие на заплахата се отличава с използването на други нови методи за кражба на пароли, странично движение и екфилтриране на чувствителни данни, като например.
- Използване на мрежови доставчици за изпълнение на злонамерен DLL за събиране и експортиране на пароли в обикновен текст към отдалечен сървър
- Използване на набор от инструменти за тестване на проникването с отворен код, наречен Yasso, за разпространение в мрежата, и
- Използване на предимствата на Exchange Management Shell и PowerShell модулите за събиране на интересни имейли.
Струва си да се отбележи, че използването на приставките Exchange PowerShell за експортиране на данни за пощенски кутии е докладвано по-рано в случая с китайската държавно спонсорирана група, наречена Silk Typhoon (преди това Hafnium), за която за първи път стана известно през март 2021 г. във връзка с експлоатацията на Microsoft Exchange Server.
„Равнището на сложност, адаптивност и виктимология на тази група за дейност предполагат, че става въпрос за високоспособен APT , и се предполага, че става въпрос за държавно спонсорирана групировка“, каза Рохбергер.
