CMF подчиняется Министерству финансов Чили и является органом, регулирующим и инспектирующим банки и другие финансовые учреждения в стране. Как сообщила комиссия на этой неделе, злоумышленники проэксплуатировали уязвимости и установили web-оболочки в попытке похитить учетные данные.
В ходе анализа инцидента, проведенного специалистами CMF и сторонними ИБ-экспертами, следов присутствия в сетях комиссии вымогательского ПО обнаружено не было. Как установили специалисты, инцидент ограничен только платформой Microsoft Exchange. В настоящее время расследование продолжается.
Чтобы помочь специалистам в области безопасности и другим администраторам Microsoft Exchange, CMF опубликовала индикаторы компрометации (IOC) web-оболочек и пакетного файла, обнаруженных на скомпрометированном сервере:
Хотя IOC могут иметь разные хеши файлов для каждой жертвы, имена файлов те же самые. Web-оболочки с именами error_page.asp и supp0rt.aspx использовались во многих атаках ProxyLogon и по большей части являются идентичными, только с некоторыми изменениями в зависимости от жертвы.
Эти файлы представляют собой автономные адресные книги Microsoft Exchange (OAB), для которых параметр ExternalUrl изменен на web-оболочку China Chopper. Эта web-оболочка позволяет злоумышленникам удаленно выполнять команды на взломанном сервере Microsoft Exchange путем перехода по заданному в параметре ExternalURL URL-адресу.
Пакетный файл test.bat часто встречается в атаках ProxyLogon и используется для извлечения данных из памяти процесса LSASS с целью похищения учетных данных для домена Windows. Пакетный файл также экспортирует список пользователей домена Windows.