Il sistema Mandiant Managed Defense di FireEye aveva osservato già a gennaio molteplici casi di attacco a Microsoft Exchange Server.
E anche noi avevamo già spiegato come Microsoft consigliava di porre rimedio.
L’attività osservata comprendeva la creazione di web shell per un accesso persistente, l’esecuzione di codice da remoto e l’enumerazione delle soluzioni di sicurezza degli endpoint.
L’indagine condotta da Mandiant ha rivelato che i file creati sui server Exchange erano creati con privilegi NT AUTHORITY\SYSTEM, un account locale privilegiato sul sistema operativo Windows.
Il processo che aveva creato la web shell, inoltre, era UMWorkerProcess.exe, responsabile del servizio di Unified Messaging di Exchange.
Nelle indagini condotte sono stati inoltre osservati file malevoli creati da w3wp.exe, il processo che è responsabile del front-end web di Exchange Server.
È in risposta a questa attività che Mandiant ha dato il via a campagne di threat hunting per identificare ulteriori abusi di Exchange Server e ha utilizzato questi dati per effettuare monitoraggi dettagliati sulla componente di web server di Exchange.
Il 2 marzo scorso Microsoft ha pubblicato i dettagli di molteplici vulnerabilità zero-day utilizzate per compromettere le versioni on-premise di Microsoft Exchange Server, e ha rilasciato patch di emergenza per le vulnerabilità di Exchange Server.
Quanto riportato da Microsoft si allinea con le indagini condotte da FireEye che traccia l’attività in tre cluster: UNC2639, UNC2640 e UNC2643.
Leggi la nostra guida a 23 soluzioni di cybersecurity Zero Trust
Lo spiega Gabriele Zanoni, Senior Strategic Consultant di Mandiant, che afferma in una nota di prevedere di “rilevare ulteriori cluster mano a mano che rispondiamo alle intrusioni. Per cercare di mitigare l’attacco raccomandiamo di seguire la guida di Microsoft e di applicare immediatamente le patch di Exchange Server“.
Sulla base della propria telemetria FireEye ha identificato una serie di vittime colpite, tra cui retailer con sede negli Stati Uniti, enti locali, Università e società di ingegneria. Sono state osservate anche attività malevole verso un Governo del sud est asiatico e verso un’azienda di Tlc dell’Asia centrale.
Microsoft ha riferito che lo sfruttamento della vulnerabilità è legato a un unico gruppo di aggressori, denominato “HAFNIUM”, un gruppo che ha precedentemente preso di mira diverse società americane nell’ambito della difesa, studi legali, enti di ricerca, think tank.
Il controllo di Mandiant: la web shell
A partire da gennaio Mandiant Managed Defense aveva osservato la creazione di web shell sul file system di un server Exchange nell’ambiente di un cliente. La web shell, denominata help.aspx (MD5: 4b3039cf227c611c45d2242d1228a121), includeva funzioni in grado di eseguire comandi arbitrari e caricare, cancellare e visualizzare il contenuto dei file.
L’utilizzo delle web shell è comune tra gli aggressori, tuttavia controllando i processi di partenza, i tempi e le vittime di questi file indicano chiaramente che l’attività è iniziata con lo sfruttamento di Microsoft Exchange.
Anche a marzo in un ambiente diverso, FireEye aveva osservato un aggressore utilizzare una o più vulnerabilità per posizionare delle web shell su un Exchange Server vulnerabile. Questo viene effettuato dagli aggressori per stabilire una persistenza e anche per avere accesso secondario, come avvenuto in altri casi.
Come spiega Zanoni, l’attività rilevata indica che questi aggressori stanno utilizzando le vulnerabilità di Exchange Server per ottenere un punto di appoggio in diversi ambienti. A questa attività fanno poi seguito ulteriori meccanismi per ottenere persistenza e accessi.
Per chi ritiene che il proprio Exchange Server sia stato compromesso, FireEye consiglia di indagare per determinare la portata dell’attacco e il tempo di permanenza dell’aggressore.
Server Exchange on premise sotto controllo
Significativa e allarmante la chiosa di Ben Read, Director of Analysis di Mandiant Threat Intelligence: “lo sfruttamento delle vulnerabilità di Microsoft Exchange è in corso e nuove aziende verranno colpite a stretto giro quando queste vulnerabilità sarann a disposizione di aggressori motivati finanziariamente che spesso compromettono le aziende per ricattarle mettendo fuori uso i loro sistemi. Qualsiasi organizzazione che abbia un server exchange on premise dovrebbe supporre di essere compromessa. Non abbiamo rilevato un focus su nessuna specifica attività e la nostra valutazione è che gli attaccanti siano impegnati in una scansione per poi scegliere in un secondo momento gli obiettivi di maggior interesse”.