Бесплатно Экспресс-аудит сайта:

19.03.2021

Чилийский финансовый регулятор опубликовал IOC для уязвимостей ProxyLogon

Комиссия по финансовому рынку Чили (Comisión para el Mercado Financiero, CMF) сообщила, что ее серверы были скомпрометированы через уязвимости в Microsoft Exchange, известные как ProxyLogon.

CMF подчиняется Министерству финансов Чили и является органом, регулирующим и инспектирующим банки и другие финансовые учреждения в стране. Как сообщила комиссия на этой неделе, злоумышленники проэксплуатировали уязвимости и установили web-оболочки в попытке похитить учетные данные.

В ходе анализа инцидента, проведенного специалистами CMF и сторонними ИБ-экспертами, следов присутствия в сетях комиссии вымогательского ПО обнаружено не было. Как установили специалисты, инцидент ограничен только платформой Microsoft Exchange. В настоящее время расследование продолжается.

Чтобы помочь специалистам в области безопасности и другим администраторам Microsoft Exchange, CMF опубликовала индикаторы компрометации (IOC) web-оболочек и пакетного файла, обнаруженных на скомпрометированном сервере:

  • 0b15c14d0f7c3986744e83c208429a78769587b5: error_page.aspx (web-оболочка China Chopper);

  • bcb42014b8dd9d9068f23c573887bf1d5c2fc00e: supp0rt.aspx (web-оболочка China Chopper);

  • 0aa3cda37ab80bbe30fa73a803c984b334d73894: test.bat (пакетный файл для выгрузки lsass.exe).

Хотя IOC могут иметь разные хеши файлов для каждой жертвы, имена файлов те же самые. Web-оболочки с именами error_page.asp и supp0rt.aspx использовались во многих атаках ProxyLogon и по большей части являются идентичными, только с некоторыми изменениями в зависимости от жертвы.

Эти файлы представляют собой автономные адресные книги Microsoft Exchange (OAB), для которых параметр ExternalUrl изменен на web-оболочку China Chopper. Эта web-оболочка позволяет злоумышленникам удаленно выполнять команды на взломанном сервере Microsoft Exchange путем перехода по заданному в параметре ExternalURL URL-адресу.

Пакетный файл test.bat часто встречается в атаках ProxyLogon и используется для извлечения данных из памяти процесса LSASS с целью похищения учетных данных для домена Windows. Пакетный файл также экспортирует список пользователей домена Windows.

Хотя в большинстве атак на Microsoft Exchange на серверы устанавливаются web-оболочки, похищаются учетные данные и содержимое электронной почты, в некоторых случаях злоумышленники развертывают криптомайнеры, а с недавних пор еще и вымогательское ПО DearCry .