Araştırmacılar Bitdefender Laboratuvarları Kasım ayının sonlarından bu yana şirket içi Microsoft Exchange Server dağıtımlarını hedefleyen ProxyNotShell/OWASSRF açıklardan yararlanma zincirlerini kullanan artan sayıda saldırı gözlemledik.
kitle grevi önceden ifşa edilmiş Play fidye yazılımı sunucu tarafı istek sahteciliği tekniklerini kullanarak benzer saldırıları araştırdıktan sonra bu teknikleri kullanıyordu. Tehdit aktörleri, daha önce Microsoft tarafından yayınlanan ve fidye yazılımı saldırısı sırasında görülen URL yeniden yazma azaltmalarını aşmak için saldırı yöntemini kullandı. Rackspace’e karşı.
Bitdefender araştırmacıları, gözlemledikleri saldırıların ağırlıklı olarak ABD hedeflerine yönelik olduğunu, ancak Polonya, Kuveyt, Avusturya ve Türkiye’deki şirketleri de etkilediğini söyledi.
Etkilenen firmalar imalat, emlak, hukuk ve sanat ve eğlence dahil olmak üzere çeşitli sektörlerden geldi. Ancak araştırmacılar, saldırıların fırsatçı göründüğünü ve belirli bir sektörü hedef almadığını söyledi.
Bitdefender, dört farklı saldırı senaryosunu özetledi:
- Saldırganlar, ProxyNotShell istismar zincirini kullandıktan sonra iki ayrı uzaktan erişim aracı kullanmayı denedi: Bir Metasploit saldırı yükü olan Meterpreter ve daha önce ScreenConnect olarak bilinen ConnectWise Control.
- Bitdefender’a göre tehdit aktörleri, güvenliği ihlal edilmiş bir sisteme kalıcılık yüklemek için web kabuklarını kullanmaya çalıştı. Teknik genellikle ilk erişim simsarları tarafından kullanılır ve bunlar daha sonra güvenliği ihlal edilmiş ağı diğer gruplara satar.
- Küba fidye yazılımı olarak nitelendirilen tehdit aktörleri, PowerShell komutlarını yürütmek için bir ProxyNotShell istismar zinciri kullanmaya çalıştı. Aktörler, bir Bughatch indiricisi kullanmaya çalıştı, ancak araştırmacılar, atıfları bilinen uzlaşma göstergelerine ve yeniden kullanılan altyapıya dayandırdı. Komutlar engellendi, ancak saldırganlar sessizce GoToAssist adlı yasal bir uzaktan destek aracını indirdiler.
- Son senaryoda, tehdit aktörleri, muhtemelen bir fidye yazılımı saldırısına hazırlanmak için güvenlik hesapları yöneticisi veri tabanından ve yerel güvenlik yetkilisi alt sistem hizmet belleğinden kimlik bilgilerini boşaltmaya çalıştı.
Palo Alto Networks’ten araştırmacılar, Kasım ayından bu yana aynı yöntemleri kullanan bir dizi sınırlı saldırı gözlemlediklerini söylüyorlar.
“Blogumuzda bahsedildiği gibi, OWASSRF [Outlook Web Access] CVE-2022-41080’den yararlanmak için ön uç uç nokta; bu, istismardan önce aktörün sunucuda kimliğinin doğrulanmasını gerektirir,” dedi Palo Alto Networks Unit 42 kıdemli baş araştırmacısı Robert Falcone.
Kimlik doğrulama sonrası gereksinim “toplu tarama ve istismar şansını ortadan kaldırırken” Falcone, araştırmacıların müşterilere karşı Kasım ayına kadar uzanan sınırlı istismar girişimleri gördüklerini söyledi.
Palo Alto Ağları Aralık blog yazısı Falcone’ye göre, araştırmacıların SilverArrow olarak adlandırdığı, bir durumda saldırganların kullanıcı kimlik bilgilerini bellekten boşaltmasına izin veren uzak masaüstü erişimine yol açan, powershell tabanlı bir arka kapı çalıştırmaya yönelik erken bir girişimin ana hatlarını çizdi.
Palo Alto Networks, 20 Ocak’ta Avrupa’daki bir yarı iletken kuruluşta OWASSRF’den yararlanma girişimi ve 17 Ocak’ta bir Kanada sağlık kuruluşuna saldırma girişimi gördüğünü söyledi.
Bir Microsoft sözcüsü, bildirilen yöntemin şirketin güvenlik güncellemelerini uygulamayan sistemlerden yararlandığını söyledi ve müşterileri Kasım ayında yayınlanan Exchange Server güncellemelerine erişmeye çağırdı.