Microsoft Exchange, Outlook bajo el asedio de APT - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Microsoft Exchange, Outlook bajo el asedio de APT

Hola y mil gracias por leerme. Soy Eduardo Arroyo y en esta ocasión te voy a hablar sobre Microsoft Exchange, Outlook bajo el asedio de APT

Microsoft Exchange, Outlook bajo el asedio de APT

Un nuevo informe de amenazas muestra que las APT están cambiando de táctica cuando aprovechan los servicios de Microsoft como Exchange y OWA para evitar ser detectados.

Los nuevos y sofisticados adversarios están cambiando de táctica aprovechando plataformas amigables para las empresas, particularmente Microsoft Exchange, Outlook Web Access (OWA) y Outlook en la web, para robar credenciales corporativas y otros datos confidenciales.

Tanto el servidor de correo y el servidor de calendario de Microsoft Exchange como su aplicación web de administración de información personal Outlook brindan servicios de autenticación e integración con otras plataformas, que los investigadores creen que son las mejores para que los atacantes aprovechen para lanzar ataques. .

El informe Cyber ​​Threatscape 2020 de Accenture, publicado el lunes, arroja luz sobre cómo los actores están aprovechando Exchange y OWA y evolucionando sus tácticas para desarrollar nuevas familias de malware dirigidas a estos servicios o utilizando nuevas técnicas de evasión. .

«Los sistemas y servicios con uso intensivo de datos y orientados a la web que normalmente se comunican externamente pueden facilitar que los adversarios oculten su tráfico en el ruido de fondo, mientras que los servicios de autenticación podrían abrir una oportunidad de recopilación de credenciales para los delincuentes. informáticos «, segundo Investigadores de Accenture el lunes.

Un grupo de amenazas que se ha dirigido a Exchange y OWA es lo que los investigadores llaman «BELUGASTURGEON» (también conocido como Turla o Whitebear). Los investigadores dicen que este grupo opera desde Rusia, ha estado en el negocio durante más de 10 años y está asociado con numerosos ataques cibernéticos dirigidos a agencias gubernamentales, empresas de investigación de política exterior y grupos de expertos en todo el mundo.

El grupo apunta a estos servicios de Microsoft y los usa como puntos de referencia para ocultar el tráfico, reenviar comandos, comprometer el correo electrónico, exfiltrar datos y recopilar credenciales para futuros ataques de espionaje, dijeron los investigadores. Por ejemplo, están manipulando el tráfico legítimo que pasa por Exchange para reenviar comandos o exfiltrar datos confidenciales.

«Los hosts que admiten Exchange y los servicios asociados a menudo transmiten grandes volúmenes de datos a ubicaciones externas, lo que brinda una gran oportunidad para que los atacantes oculten su tráfico dentro de este ruido de fondo», dijeron los investigadores.

Otro grupo, al que los investigadores llaman SOURFACE (también conocido como APT39 o Chafer), parece haber desarrollado técnicas similares para ocultar tráfico malicioso, manipular firewalls locales y enviar tráfico a través de puertos no estándar utilizando comandos, herramientas y funciones nativas. dijeron los investigadores. Los investigadores dijeron que este grupo ha estado activo desde al menos 2014 y es conocido por sus ataques cibernéticos contra el petróleo y el gas, las comunicaciones, el transporte y otras industrias en Australia, Europa, Israel, Arabia Saudita, Estados Unidos y otras regiones.

Además, los grupos de amenazas también están creando nuevo malware diseñado para atacar específicamente a Exchange y OWA. Los investigadores dijeron que descubrieron varios archivos maliciosos en la naturaleza en 2019 que calificaron con «confianza moderada» y estaban asociados con un grupo llamado BLACKSTURGEON, utilizado para atacar organizaciones gubernamentales y del sector público.

Esto incluye un archivo que parecía una versión grupal. versión personalizada de la herramienta «RULER», diseñado para abusar de los servicios de Microsoft Exchange. Este archivo usa la extensión CVE- 2017-11774 vulnerabilidad de Outlook, una vulnerabilidad que pasa por alto las características de seguridad que afectan a Microsoft Outlook y permite a los atacantes ejecutar comandos arbitrarios, dijeron los investigadores.

Los ciberdelincuentes también se dirigen a los servicios que admiten Exchange y OWA. Por ejemplo, los servidores de acceso de cliente (CAS), que administran todas las conexiones de clientes a Exchange Server 2010 y Exchange 2013, normalmente operan en portales de acceso web para servicios que incluyen OWA. Los atacantes con acceso al CAS pueden implementar funciones para robar las credenciales de inicio de sesión de los usuarios, dijeron los investigadores.

«Específicamente, un actor avanzado de amenazas persistentes implementaría shells web para recopilar las credenciales de usuario de OWA al iniciar sesión», dijeron.

La plataforma Windows Internet Information Services (IIS), que admite OWA, es otro objetivo en crecimiento. IIS es un software de servidor web creado por Microsoft para su uso con la familia Windows. Los investigadores dijeron que observaron SOURFACE, por ejemplo, implementar shells web personalizados Active Server Page Extended (ASPX) en directorios IIS dentro del entorno OWA de la víctima. Estos shells web incluirían nombres de archivo discretos para parecerse a archivos legítimos en el sistema de la víctima (por ejemplo, «login2.aspx» en lugar de «login.aspx»). Además, para evitar la detección estática, por lo general contenían una funcionalidad limitada, a menudo solo cargaban y descargaban archivos o ejecutaban comandos.

“Los operadores de SOURFACE cambiaron su enfoque a medida que avanzaba la intrusión. En lugar de insertar archivos adicionales para lograr una funcionalidad maliciosa, el adversario agregó código de shell web a los archivos legítimos dentro de IIS «, dijeron los investigadores.» Lo más probable es que hayan hecho esto para reducir la identificación del defensores de la red y garantizar el acceso persistente, incluso si se han identificado y eliminado otros archivos de shell web «.

Los investigadores dijeron que en el futuro, los atacantes continuarán innovando sus técnicas para atacar los servicios de Microsoft, como Exchange, de formas que naturalmente desafiarán a los defensores de la red. Más allá del malware, Microsoft ocupa el primer lugar en lo que respecta a imitaciones de piratas informáticos, con productos y servicios de Microsoft incluidos en casi una quinta parte de todos los ataques de phishing de marcas mundiales en el tercer trimestre de este año, según los investigadores. por Check Point.

«Los operadores alineados con el estado pueden continuar, en la mayoría de los casos, teniendo que enfatizar el sigilo y la persistencia para lograr sus objetivos de recopilación de inteligencia», según Accenture. «Tales capacidades y enfoques para la detección de la evasión subrayan la importancia de identificar y monitorear a los adversarios prioritarios y luego perseguir las amenazas contra los comportamientos específicos empleados por los adversarios prioritarios».

.

Recuerda compartir en en tu Twitter y Facebook para que tus amigos lo sepan

??? ? ? ???

Comparte