- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
В совместном отчете CISA, ФБР и АНБ были приведены технические подробности кибератаки, собранные в ходе ликвидации ее последствий.
Арсенал злоумышленников выглядел следующим образом:
- Кастомный вредонос CovalentStealer;
- Impacket – набор классов Python с открытым исходным кодом;
- RAT HyperBro;
- Более десятка образцов веб-оболочки ChinaChopper;
- Четыре уязвимости в Exchange Server.
- CVE-2021-26855 – позволяет подделать запрос на стороне сервера (SSRF), это приводит к созданию HTTP-запросов, которые отправляет не аутентифицированный злоумышленник.
- CVE-2021-26857 – уязвимость в службе системы обмена сообщениями Exchange. Позволяет использовать произвольный код в системе жертвы.
- CVE-2021-26858 – доступна после прохождения аутентификации. Злоумышленники могут использовать эту уязвимость для записи произвольных файлов на сервере.
- CVE-2021-27065 – работает в связке с CVE-2021-26855 и позволяет получить доступ к EAC/EPC (Exchange admin center) интерфейсу,
Менее чем через месяц, в начале февраля 2021 года, злоумышленники снова получили доступ к сети через VPN, используя те же учетную запись.
Через четыре дня хакеры провели разведку с помощью командной оболочки. Они узнали об окружении жертвы и вручную заархивировали (WinRAR) конфиденциальные данные хранящиеся на общих дисках, подготовив их к эксфильтрации. Файлы были разбиты на фрагменты размером около 3 МБ и расположены на сервере Microsoft Exchange в каталоге CU2\he\debug.
В начале марта хакеры воспользовались вышеперечисленными, чтобы установить не менее 17 веб-оболочек China Chopper на сервер Exchange.
Завершив подготовку, в апреле 2021 года злоумышленники начали закрепляться в системе и медленно продвигаться вглубь. Кроме того, киберпреступники воспользовались Impacket со скомпрометированными учетными данными и получили удаленный доступ с нескольких внешних IP-адресов к Exchange-серверу организации через Outlook Web Access (OWA).
Оказавшись глубоко в сети жертвы, хакеры выкачали все собранные данные с помощью CovalentStealer. Этот этап атаки проходил с конца июля до середины октября 2022 года.
Специалисты CISA уже опубликовали технический анализ CovalentStealer . Им удалось выяснить, что вредонос использует код двух общедоступных утилит: ClientUploader и PowerShell-скрипт Export-MFT, необходимые для загрузки сжатых файлов и извлечения главной файловой таблицы (MFT) из локального тома.