19/03/21
Комиссия по финансовому рынку Чили (Comisión para el Mercado Financiero, CMF) сообщила, что ее серверы были скомпрометированы через уязвимости в Microsoft Exchange, известные как ProxyLogon.
CMF подчиняется Министерству финансов Чили и является органом, регулирующим и инспектирующим банки и другие финансовые учреждения в стране. Как сообщила комиссия на этой неделе, злоумышленники проэксплуатировали уязвимости и установили web-оболочки в попытке похитить учетные данные.
В ходе анализа инцидента, проведенного специалистами CMF и сторонними ИБ-экспертами, следов присутствия в сетях комиссии вымогательского ПО обнаружено не было. Как установили специалисты, инцидент ограничен только платформой Microsoft Exchange. В настоящее время расследование продолжается.
Чтобы помочь специалистам в области безопасности и другим администраторам Microsoft Exchange, CMF опубликовала индикаторы компрометации (IOC) web-оболочек и пакетного файла, обнаруженных на скомпрометированном сервере:
- 0b15c14d0f7c3986744e83c208429a78769587b5: error_page.aspx (web-оболочка China Chopper);
- bcb42014b8dd9d9068f23c573887bf1d5c2fc00e: supp0rt.aspx (web-оболочка China Chopper);
- 0aa3cda37ab80bbe30fa73a803c984b334d73894: test.bat (пакетный файл для выгрузки lsass.exe).
Хотя IOC могут иметь разные хеши файлов для каждой жертвы, имена файлов те же самые. Web-оболочки с именами error_page.asp и supp0rt.aspx использовались во многих атаках ProxyLogon и по большей части являются идентичными, только с некоторыми изменениями в зависимости от жертвы.
Эти файлы представляют собой автономные адресные книги Microsoft Exchange (OAB), для которых параметр ExternalUrl изменен на web-оболочку China Chopper. Эта web-оболочка позволяет злоумышленникам удаленно выполнять команды на взломанном сервере Microsoft Exchange путем перехода по заданному в параметре ExternalURL URL-адресу.
Пакетный файл test.bat часто встречается в атаках ProxyLogon и используется для извлечения данных из памяти процесса LSASS с целью похищения учетных данных для домена Windows. Пакетный файл также экспортирует список пользователей домена Windows.
