Mandiant: تم استغلال أخطاء MS Exchange لأول مرة في يناير

14

تحليل من الفرق الفنية في FireEye’s Mandiant نشاط متعقب يستغل نقاط الضعف التي تم الكشف عنها حديثًا في Microsoft Exchange Server منذ أكثر من شهر

 
نشرت: 11 آذار (مارس) 2021 الساعة 15:00
كانت الجهات الخبيثة تستغل أربع نقاط ضعف تم الكشف عنها هذا الأسبوع في- مثيلات Microsoft Exchange Server يعود تاريخها إلى يناير 2021 ، وفقًا لتقرير جديد صادر عن FireEye Mandiant resea rchers Matt Bromiley و Chris DiGiamo و Andrew Thompson و Robert Wallace. تم الكشف عن استغلال الثغرات الأربع ، التي تم الكشف عنها في وقت سابق من هذا الأسبوع جنبًا إلى جنب مع تصحيح خارج التسلسل ، من قبل Microsoft ، إلى مجموعة التهديد المستمر الصيني المتقدم (APT) المعروفة باسم Hafnium ، على الرغم من وجود أدلة وفيرة بالفعل إن اقتراح استغلال مكافحة التطرف العنيف يتجاوز مجموعة واحدة.في في تقرير Mandiant ، قال الباحثون إنهم لاحظوا حالات متعددة من الإساءة داخل بيئة عميل واحدة على الأقل ، مع نشاط ملحوظ بما في ذلك إنشاء قذائف الويب للحصول على وصول مستمر ، وتنفيذ التعليمات البرمجية عن بُعد (RCE) ، والاستطلاع لحلول أمان نقطة النهاية من FireEye ، Carbon Black and CrowdStrike. “يتوافق النشاط الذي أبلغت عنه Microsoft مع ملاحظاتنا. يتتبع FireEye حاليًا هذا النشاط في ثلاث مجموعات ، UNC2639 و UNC2640 و UNC2643 “، كما قال Bromiley و DiGiamo و Thompson و Wallace في مدونة الإفصاح.“نتوقع تكتلات إضافية ونحن نرد على الاقتحامات. نوصي باتباع إرشادات Microsoft وتصحيح Exchange Server فورًا لتخفيف هذا النشاط. ”

مثل الباحثين الآخرين الذين كانوا يتتبعون الاستغلال ، قال الفريق إن عدد الضحايا كان على الأرجح أعلى بكثير مما قالت مايكروسوفت – فقد وصفتهم بأنهم مستهدفون ومحدودون ، لكن هذا محل خلاف حاد الآن.

“استنادًا إلى القياس عن بعد لدينا ، حددنا مجموعة من الضحايا المتأثرين بما في ذلك تجار التجزئة في الولايات المتحدة ، الحكومات المحلية ، والجامعة ، وشركة هندسية. وقالوا إن الأنشطة ذات الصلة قد تشمل أيضًا حكومة جنوب شرق آسيا واتصالات آسيا الوسطى “.

أكد الفريق تقييم Microsoft لأنشطة ما بعد الاستغلال المتعددة ، بما في ذلك سرقة بيانات الاعتماد ، وضغط البيانات للتسلل ، واستخدام أدوات Exchange PowerShell الإضافية لسرقة بيانات صندوق البريد ، واستخدام أدوات إلكترونية هجومية أخرى مثل العهد ، Nishang و PowerCat للوصول عن بعد. “النشاط الذي لاحظناه ، إلى جانب الآخرين في صناعة أمن المعلومات ، تشير إلى أن الجهات الفاعلة في التهديد هذه تستخدم على الأرجح ثغرات Exchange Server للحصول على موطئ قدم في البيئات. يتبع هذا النشاط بسرعة وصول إضافي وآليات مستمرة. وقالوا إن لدينا العديد من القضايا الجارية وسنواصل تقديم نظرة ثاقبة ونحن نرد على التدخلات “.

وفي الوقت نفسه ، لوحظ المزيد من المجموعات تتراكم في أعقاب هافنيوم ، حيث استفاد العديد منها من قذيفة الويب تشاينا تشوبر ، وهو باب خلفي يسمح للجهات الفاعلة الخبيثة بالتحكم عن بعد في النظام المخترق وإجراء المزيد من المهام. – أنشطة الاستغلال. والجدير بالذكر أن China Chopper تحتوي على واجهة المستخدم الرسومية التي تسمح للمستخدم بإدارة أوامر هجوم قذيفة الويب والتحكم فيها.

وفقًا لما ذكره Max Malyutin من Cynet ، فإن أولئك الذين يستخدمونه يشملون Leviathan ، المرتبط ارتباطًا وثيقًا بـ APT40 ؛ Threat Group-3390 ، المعروف أيضًا باسم Emissary Panda أو Bronze Union أو Iron Tiger ؛ خلية ناعمة (ليس الثنائي البوب ​​المركب) ؛ و APT41. يُعتقد أن كل هذه المجموعات مرتبطة ببعض الأنشطة التي نشأت في الصين.

قال الرئيس التنفيذي لشركة Gurucul ، ساريو نايار ، إن الهجمات المستمرة كانت بمثابة تذكير بأنه على الرغم من النمو الهائل في استخدام الخدمات السحابية ، فإن المعدات المحلية لا تزال ضعيفة ويمكن إهمالها بسهولة.

“مع ترحيل المنظمات إلى Microsoft Office 365 بشكل جماعي خلال السنوات القليلة الماضية ، من السهل نسيان Exchange الداخلي الخوادم لا تزال في الخدمة. قال نيار إن بعض المؤسسات ، لا سيما في الحكومة ، لا يمكنها ترحيل تطبيقاتها إلى السحابة بسبب السياسة أو اللوائح ، مما يعني أننا سنرى خوادم محلية لبعض الوقت في المستقبل.

“هذه حالة أخرى توضح مدى أهمية مواكبة تصحيحات الأمان والتأكد من وأضافت أن المجموعة الأمنية للمنظمة ترقى إلى مستوى مهمة تحديد الهجمات الجديدة ومعالجتها بسرعة.