Symantec, GTSC предупреждают об активных эксплойтах Microsoft

На этой неделе вьетнамская компания по безопасности GTSC опубликовала сообщение в блоге, предупреждающее о новой уязвимости нулевого дня удаленного выполнения кода (RCE) в Microsoft Exchange Server, которая, по ее словам, активно эксплуатируется по крайней мере с начала августа.

GTSC представила уязвимость в рамках инициативы Zero Day Initiative, которая 8 и 9 сентября подтвердила две уязвимости: ZDI-CAN-18333 и ZDI-CAN-18802 с оценкой CVSS 8,8 и 6,3 соответственно.

Поскольку GTSC продолжает видеть, что клиенты становятся мишенью для атак, использующих эти уязвимости, компания заявила, что опубликовала сообщение в блоге, предлагающее дополнительную информацию об уязвимостях.

«Мы обнаружили, что веб-оболочки, в основном запутанные, перебрасываются на серверы Exchange», — пишет GTSC. «Используя пользовательский агент, мы обнаружили, что злоумышленник использует Antsword, активный китайский кроссплатформенный инструмент администрирования веб-сайтов с открытым исходным кодом, который поддерживает управление веб-оболочкой».

Из-за использования кодовой страницы веб-оболочки для упрощенного китайского языка GTSC приписала атаки китайской атакующей группе.

«Следует отметить, что каждая команда заканчивается строкой echo [S]&cd&echo [E], которая является одной из сигнатур китайского чоппера», — написали они. «Кроме того, хакер также внедряет в память вредоносные DLL, сбрасывает подозрительные файлы на атакуемые серверы и запускает эти файлы через WMIC».

Microsoft предлагает руководство по уязвимостям

Через день после того, как GTSC опубликовала свое сообщение в блоге, Microsoft выпустила руководство для клиентов по устранению уязвимостей, которые затрагивают Microsoft Exchange Server 2013, 2016 и 2019 и идентифицируются как уязвимость подделки запросов на стороне сервера (SSRF) CVE-2022-41040. и недостаток RCE CVE-2022-41082.

Хотя клиентам Microsoft Exchange Online не нужно предпринимать никаких действий, пользователям локальной версии Microsoft Exchange рекомендуется выполнить следующие действия:

• Откройте диспетчер IIS
• Разверните веб-сайт по умолчанию
• В представлении функций нажмите «Переписать URL».
• На панели «Действия» справа нажмите «Добавить правила».
• Выберите «Блокировка запроса» и нажмите «ОК».
• Добавьте строку «. *autodiscover\.json. *\@. *Powershell. * «(исключая кавычки) и нажмите «ОК».
• Разверните правило и выберите правило с шаблоном «. *autodiscover\.json. *\@. *Powershell. * «и нажмите «Изменить» в разделе «Условия».
• Измените ввод условия с {URL} на {REQUEST_URI}.

«Нет никаких известных последствий для функциональности Exchange, если модуль перезаписи URL-адресов установлен в соответствии с рекомендациями», — пишет компания.

Стеганография скрывает вредоносное ПО в логотипе Microsoft

Отдельно Symantec объявила, что атакующая группа Witchetty, также известная как LookingFrog, использует новый троян-бэкдор Backdoor.Stegmap, который использует стеганографию для сокрытия вредоносного ПО в изображении — в данном случае это растровое изображение старого логотипа Microsoft. «Маскировка полезной нагрузки таким образом позволила злоумышленникам разместить ее на бесплатном доверенном сервисе», — отметили в Symantec.

Backdoor.Stegmap может создавать и удалять каталоги; копирование, перемещение и удаление файлов; загрузка и запуск исполняемых файлов; чтение, создание и удаление разделов реестра, среди прочих действий.

«В ходе атак в период с февраля по сентябрь 2022 года Witchetty нацелилась на правительства двух ближневосточных стран и фондовую биржу африканской страны», — пишет Symantec. «Злоумышленники использовали уязвимости ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207) и ProxyLogon (CVE-2021-26855 и CVE-2021-27065) для установки веб-шеллов на общедоступные серверов перед тем, как украсть учетные данные, перемещаться по сети в горизонтальном направлении и устанавливать вредоносное ПО на другие компьютеры».

В отчете Symantec подробно описывается февральская атака на правительственное учреждение на Ближнем Востоке, которая продолжалась в течение нескольких месяцев.

ESET впервые сообщила о Witchetty/LookingFrog в апреле 2022 года, определив ее как одну из трех подгрупп зонтичной группы кибершпионажа TA410, которая сама слабо связана с APT10/Cicada.