• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Киберпреступники украли данные оборонной организации США с помощью неизвестного ПО

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Об инциденте стало известно из сообщения от правительства США, в котором сообщается о том, что хакеры использовали кастомного вредоноса CovalentStealer и набор классов Python под названием Impacket для кражи конфиденциальных данных у американской компании, работающей в секторе оборонной-промышленного комплекса.

В совместном отчете CISA, ФБР и АНБ были приведены технические подробности кибератаки, собранные в ходе ликвидации ее последствий.

Арсенал злоумышленников выглядел следующим образом:
  • Кастомный вредонос CovalentStealer;
  • Impacket – набор классов Python с открытым исходным кодом;
  • RAT HyperBro;
  • Более десятка образцов веб-оболочки ChinaChopper;
  • Четыре уязвимости в Exchange Server.
Список использованных уязвимостей:
  • CVE-2021-26855 – позволяет подделать запрос на стороне сервера (SSRF), это приводит к созданию HTTP-запросов, которые отправляет не аутентифицированный злоумышленник.
  • CVE-2021-26857 – уязвимость в службе системы обмена сообщениями Exchange. Позволяет использовать произвольный код в системе жертвы.
  • CVE-2021-26858 – доступна после прохождения аутентификации. Злоумышленники могут использовать эту уязвимость для записи произвольных файлов на сервере.
  • CVE-2021-27065 – работает в связке с CVE-2021-26855 и позволяет получить доступ к EAC/EPC (Exchange admin center) интерфейсу,
Хотя первоначальный вектор доступа неизвестен, в отчете говорится, что хакеры получили доступ к серверу Exchange организации в середине января 2021 года. На протяжении четырех часов злоумышленники искали почтовые ящики и использовали скомпрометированную учетную запись администратора, принадлежащую бывшему сотруднику, для доступа к API Exchange Web Services (EWS).

Менее чем через месяц, в начале февраля 2021 года, злоумышленники снова получили доступ к сети через VPN, используя те же учетную запись.

Через четыре дня хакеры провели разведку с помощью командной оболочки. Они узнали об окружении жертвы и вручную заархивировали (WinRAR) конфиденциальные данные хранящиеся на общих дисках, подготовив их к эксфильтрации. Файлы были разбиты на фрагменты размером около 3 МБ и расположены на сервере Microsoft Exchange в каталоге CU2\he\debug.

В начале марта хакеры воспользовались вышеперечисленными, чтобы установить не менее 17 веб-оболочек China Chopper на сервер Exchange.

Завершив подготовку, в апреле 2021 года злоумышленники начали закрепляться в системе и медленно продвигаться вглубь. Кроме того, киберпреступники воспользовались Impacket со скомпрометированными учетными данными и получили удаленный доступ с нескольких внешних IP-адресов к Exchange-серверу организации через Outlook Web Access (OWA).

Оказавшись глубоко в сети жертвы, хакеры выкачали все собранные данные с помощью CovalentStealer. Этот этап атаки проходил с конца июля до середины октября 2022 года.

Специалисты CISA уже опубликовали технический анализ CovalentStealer . Им удалось выяснить, что вредонос использует код двух общедоступных утилит: ClientUploader и PowerShell-скрипт Export-MFT, необходимые для загрузки сжатых файлов и извлечения главной файловой таблицы (MFT) из локального тома.
 
Сверху