InterPlanetary Storm / Problemy: MS Exchange i Microsoft 365

Grupa cyberprzestępców odpowiedzialna za malware InterPlanetary Storm wypuściła niedawno jego najnowszy wariant. Złośliwe oprogramowanie tworzy aktualnie botnet, który już teraz składa się z około 13 500 zainfekowanych maszyn z całego świata. Więcej o szkodliwym oprogramowaniu IPS i trwającej kampanii cyberprzestępczej przeczytacie poniżej.

1. Botnet InterPlanetary Storm – prawie 14 000 zainfekowanych maszyn w 84 krajach

Nowy wariant złośliwego oprogramowania InterPlanetary Storm (IPS) – oprócz urządzeń z systemem Windows i Linux – atakuje również te z systemem Mac i Android. Do tego, malware w interesujący sposób unika wykrycia.

Złośliwe oprogramowanie rozprzestrzenia się poprzez ataki brute force na urządzenia z Secure Shell (SSH). Jest to kryptograficzny protokół do bezpiecznego świadczenia usług w niezabezpieczonych sieciach. Malware jest również w stanie wedrzeć się poprzez otwarte porty Apple Desktop Bus (ADB), które łączą urządzenia low-speed z komputerem.

Botnet wykorzystuje implementację libp2p, która jest sieciowym frameworkiem umożliwiającym pisanie zdecentralizowanych aplikacji peer-to-peer (P2P). Pierwotnie był on wykorzystywany w InterPlanetary File System (IPFS) – stąd właśnie wziął się pomysł na jego nazwę.

Jak uniknąć wykrycia. Nowy wariant IPS jest w stanie automatycznie aktualizować się do najnowszej dostępnej wersji a także zabijać inne procesy na urządzeniu, które mogą stanowić dla niego zagrożenie. Chodzi głównie o wszelkiego typu debuggery oraz konkurencyjne złośliwe oprogramowanie. Program szuka konkretnych stringów: „rig”, „xig” i „debug”. Jest również w stanie wykrywać honeypoty, wyszukując ciągów „svr04” w domyślnym wierszu powłoki.

Obecnie szacuje się, że zainfekowanych jest już 13 500 maszyn – a liczba ta stale rośnie. Połowa urządzeń znajduje się w Hongkongu, Korei Południowej i na Tajwanie. Inne zainfekowane systemy znajdują się na terytorium Rosji, Brazylii, w Stanach Zjednoczonych, Szwecji i Chinach. Botnet nie ma jeszcze jasno określonej funkcjonalności, jednak daje swoim operatorom backdoora do każdego z urządzeń, dzięki czemu mogą one później zostać wykorzystane do kopania kryptowalut, czy przeprowadzenia ataków DDoS.

Jak uniknąć stania się ofiarą. Aby uniknąć infekcji, specjaliści doradzają aby prawidłowo skonfigurować dostęp SSH na wszystkich urządzeniach, a także sięgnięcie po narzędzia, które umożliwią monitorowanie kontroli dostępu. Jest to najszybsza droga do wyeliminowania wszelkich potencjalnych błędów w ich konfiguracji.

Źródło

2. 61% serwerów Microsoft Exchange nadal podatnych na zdalne wykonanie kodu

Choć minęło prawie osiem miesięcy od kiedy Microsoft wydał aktualizację luki CVE-2020-0688, podatnych wciąż pozostaje ponad 60% serwerów Microsoft Exchange. Jej wykorzystanie umożliwia uwierzytelnionym atakującym zdalne wykonanie kodu w systemie ofiary z poziomu sieci lokalnej lub Internetu za pomocą danych logowania do konta e-mail. 

Niebezpieczeństwo w skrócie. Błąd znajduje się w panelu sterowania Exchange – serwera poczty i kalendarza firmy Microsoft. Wynika z tego, że serwer w sposób niepoprawny tworzy unikatowe klucze podczas instalacji. Aktualizacja tej luki została wydana w lutym, a w marcu dwie najważniejsze amerykańskie agencje zajmujące się cyberbezpieczeństwem – CISA i NSA – przestrzegały administratorów przed zaawansowanymi atakami ATP (Advanced Threat Persistance) na niezałatane serwery. ATP to długotrwałe, ukryte działania korzystające z wielu wektorów i narzędzi do ominięcia systemów zabezpieczeń. 

Nowe dane telemetryczne wykazały, że spośród 433464 zaobserwowanych serwerów Exchange (2010, 2013, 2016 i 2019) połączonych z Internetem co najmniej 61 procent jest nadal podatnych na usterkę. 

Przezorny zawsze ubezpieczony. Eksperci zalecają ustalenie, czy Exchange został załatany oraz zainstalowanie aktualizacji na każdym serwerze z włączonym Exchange Control Panel (ECP).

Administratorzy powinni również sprawdzić, czy ktoś próbował już wykorzystać lukę w ich środowisku. Kod exploita, który przetestowali specjaliści, pozostawia artefakty w dzienniku zdarzeń systemu Windows i dziennikach IIS. Narażone konta, które są wykorzystywane w atakach na serwery Exchange można więc wykryć sprawdzając logi pod kątem stringów załadowanych ładunków, w tym tekstu “Invalid viewstate” lub ciągów  __VIEWSTATE i __VIEWSTATEGENERATOR dla żądań do ścieżki w /ecp (zwykle /ecp/default.aspx)).

Źródło

3. Atak ransomware na Tyler Technologies – następstwa, naruszenia sieci i nadchodzące wybory w USA

Tyler Technologies, Inc. jest największym dostawcą oprogramowania dla sektora publicznego w Stanach Zjednoczonych. Jest to zdecydowanie istotny gracz na amerykańskim rynku, który z całą pewnością byłby w stanie zainteresować cyberprzestępców. Wszystko wskazuje na to, że tak się właśnie stało. W zeszłym tygodniu firma podała do wiadomości, że padła ofiarą ataku ransomware. Jakby już samo to nie było niepokojące, zaledwie kilka dni później klienci zaczęli zgłaszać podejrzane logowania do sieci i obecność wcześniej niewidzianych narzędzi umożliwiających zdalny dostęp.

Atak miał miejsce 23 września. Cyberprzestępcy włamali się do sieci firmy i wdrożyli szkodliwe oprogramowanie. Niektórzy specjaliści spekulują, że firma została zainfekowana przez RansomExx, oprogramowaniem typu human-operated ransomware. Oznaczałoby to, że atakujący ręcznie zainfekowali systemy po uzyskaniu dostępu do docelowej sieci. W tym wszystkim jest jedna dobra informacja. RansomEXX nie wykrada danych przed zaszyfrowaniem zasobów.

Początkowo firma stała na stanowisku, że incydent ograniczył się do wewnętrznej sieci firmowej i systemów telefonicznych. Innym słowem, nie miał on wpływu na infrastrukturę chmurową i dane klientów. Jednak głębsza analiza ujawniła, że napastnicy mieli znacznie mroczniejsze zamiary. Kilku klientów – po wykryciu pewnych podejrzanych akcji – zostało zmuszonych do zresetowania hasła jako środka zapobiegawczego.

Co się tam właściwie wydarzyło? Niektórzy z klientów firmy natrafili na klienta Bomgar, zainstalowanego na serwerach. Może to sugerować, że atakujący mogli jednak uzyskać hasła dostępu do infrastruktury cloudowej Tyler Technologies. Tłumaczyłoby to dalsze ataki na infrastruktury klientów firmy.

Czy problem nie jest jednak dużo większy? Rozwiązania firmy Tyler Technologies będą służyć do prezentowania wyników najbliższych wyborów w USA. Amerykańskie agencje wywiadowcze ostrzegły już, że zagraniczne rządy mogą próbować zasiać niepokój (i wpłynąć pośrednio na wybory) zmieniając dane publikowane przez takie serwisy. Zdecydowanie jest to dużo prostsze, niż fałszowanie samych wyników. Pamiętajmy, że dezinformacja to także manipulacja…

Źródło

4. Microsoft 365: Phishing z OAuth2 w tle / Niespodziewana przerwa w dostępności usług

Grupa APT, znana jako TA2552 używa OAuth2 i innych metod autoryzacji opartych na tokenach aby uzyskać dostęp do kont Office 365 i wykradać dane. 

OAuth to otwarty protokół pozwalający na budowanie bezpiecznych mechanizmów autoryzacyjnych i umożliwiający logowanie się do usług bez podawania hasła. Najczęściej wykorzystuje się tu aplikacje mobilne, status zalogowania w innej zaufanej usłudze lub witrynie internetowej. Najbardziej powszechnym przykładem są opcje “Zaloguj się przez Google” lub “Zaloguj się za pomocą Facebook” 

Według specjalistów z Proofpoint ofiary najnowszego ataku otrzymują dobrze spreparowane przynęty z prośbą o kliknięcie łącza, które prowadzi ich do legalnej strony Microsoft zawierającej zgody dla aplikacji innych firm. Po zalogowaniu się na konto Office 365 użytkownik jest proszony o przyznanie uprawnień tylko do odczytu dla aplikacji przestępców, która udaje prawdziwą apkę znanej firmy trzeciej. Domeny, które przechwytują tokeny OAuth, są często rejestrowane przez Namecheap i hostowane w Cloudflare. 

W przypadku tej kampanii złośliwe aplikacje proszą o dostęp do kontaktów, profilu i poczty użytkownika w trybie tylko do odczytu. Wszystko to jednak może zostać wykorzystane do przeszukiwania kont, cichej kradzieży danych, a nawet przechwytywania wiadomości resetujących hasło z innych kont, np. bankowości internetowej. Ponadto, taki rekonesans konta O365 dostarcza cennych informacji, które można następnie wykorzystać w atakach typu BEC czy przejęciu kont.

Choć wiadomości otrzymały organizacje na całym świecie, specjaliści są zgodni –  grupa TA2552 upodobała sobie hiszpańskojęzycznych użytkowników. W kampaniach regularnie wykorzystuje motywy rządowe i instytucje podatkowe, a ostatnio zaczęła podszywać się pod popularne marki konsumenckie, w tym Netflix i Amazon Prime Mexico. 

To nie koniec problemów Microsoft 365 w minionym tygodniu

Od godz. 21:45 czasu UTC w poniedziałek do wtorku rano niezalogowani użytkownicy przez kilka godzin nie mogli korzystać z wielu usług w chmurze – m.in. Office 365, Azure, Outlook.com, Teams i innych. Powodem były błędy w autoryzacji Azure Active Directory (AAD) authentication, który miał wpływ na chmury Azure Public i Azure Government. Początkowo problem dotyczył użytkowników w obu Amerykach i nasilał się z powodu obciążenia, ale wkrótce dotknął też klientów z innych regionów. Ze swoich usług mogli korzystać tylko ci, którzy byli zalogowani do usług przed wystąpieniem problemu. 

Prawdopodobnie przyczyną niedostępności usług było połączenie trzech niezależnych problemów. Defektu kodu w aktualizacji usługi, błędu narzędzia w systemie bezpiecznego wdrażania usługi Azure AD i defektu kodu w mechanizmie wycofywania usługi Azure AD.

Okazuje się więc, że nawet takim podmiotom jak Microsoft zdarzają się przerwy w dostępności. To jednak wpisane jest w ramach odpowiedzialności Microsoftu i shared responsibility model. Warto zauważyć jednak, że w przypadku informacji przechowywanych w ramach Office 365 sprawa nie wygląda tak prosto. To użytkownik odpowiada za bezpieczeństwo danych. Dlatego powinien posiadać rozwiązanie do backupu pakietu Microsoft 365, które już wkrótce zawita w ofercie Xopero. 

Źródła: 12