Las entidades gubernamentales en el Medio Oriente y África han estado en el extremo receptor de ataques sostenidos de ciberespionaje que aprovechan el robo de credenciales raro y nunca antes visto y las técnicas de exfiltración de correo electrónico de Exchange.
«El objetivo principal de los ataques era obtener información altamente confidencial y sensible, específicamente relacionada con políticos, actividades militares y ministerios de relaciones exteriores», dijo Lior Rochberger, investigador principal de amenazas de Palo Alto Networks. dicho en una inmersión técnica profunda publicada la semana pasada.
El equipo de investigación de amenazas Cortex de la compañía está seguimiento la actividad bajo el nombre temporal CL-STA-0043 (donde CL significa clúster y STA significa motivación respaldada por el estado), describiéndola como una «verdadera amenaza persistente avanzada».
La cadena de infección se desencadena por la explotación de servicios de información de Internet locales vulnerables (IIS) y Microsoft Exchange sirven para infiltrarse en las redes de destino.
Palo Alto Networks dijo que detectó intentos fallidos de ejecutar el shell web de China Chopper en uno de los ataques, lo que provocó que el adversario cambiara de táctica y aprovechara un implante de Visual Basic Script en memoria del Exchange Server.
Después de una intrusión exitosa, se realiza una actividad de reconocimiento para mapear la red y seleccionar servidores críticos que contienen datos de valor, incluidos controladores de dominio, servidores web, servidores Exchange, servidores FTP y bases de datos SQL.
También se ha observado que CL-STA-0043 aprovecha las herramientas nativas de Windows para escalar privilegios, lo que le permite crear cuentas de administrador y ejecutar otros programas con privilegios elevados.
Otro método de escalada de privilegios implica el abuso de las funciones de accesibilidad en Windows, es decir, el «teclas pegajosas«utilidad (sethc.exe): que hace posible eludir los requisitos de inicio de sesión y la puerta trasera de los sistemas.
«En el ataque, el atacante generalmente reemplaza el binario sethc.exe o los punteros/referencias a estos binarios en el registro, con cmd.exe», explicó Rochberger. «Cuando se ejecuta, proporciona un shell de símbolo del sistema elevado al atacante para ejecutar comandos arbitrarios y otras herramientas».
CrowdStrike documentó a principios de abril un enfoque similar que emplea el Administrador de utilidades (utilman.exe) para establecer un acceso persistente de puerta trasera al entorno de una víctima.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Además de usar Mimikatz para el robo de credenciales, el modus operandi del actor de amenazas se destaca por utilizar otros métodos novedosos para robar contraseñas, realizar movimientos laterales y filtrar datos confidenciales, como:
Vale la pena señalar que el uso de complementos de Exchange PowerShell para exportar datos de buzones de correo se informó anteriormente en el caso de un grupo patrocinado por el estado chino denominado Silk Typhoon (anteriormente Hafnium), que salió a la luz por primera vez en marzo de 2021 en relación con la explotación de Microsoft Exchange Server.
“El nivel de sofisticación, adaptabilidad y victimología de este grupo de actividad sugiere un actor de amenazas APT altamente capaz, y se sospecha que es un actor de amenazas de estado-nación”, dijo Rochberger.