Palo Alto Networks blockiert das Auslesen von Zugangsdaten

Unit 42, das Malware-Forschungsteam von Palo Alto Networks , berichtete bereits über die Microsoft Exchange-Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065). Diese haben aufgrund ihrer massenhaften Ausnutzung und der Schwere der Auswirkungen erhebliche Aufmerksamkeit erregt. Laut Unit 42 Blog nutzten am 6. März 2021 unbekannte Cyberkriminelle Schwachstellen in Microsoft Exchange Server aus, um eine Webshell auf einem Server bei einem Finanzinstitut in der EMEA-Region zu installieren. Obwohl Unit 42 keinen Zugriff auf die Webshell selbst hatte, handelte es sich bei der Webshell wahrscheinlich um eine Variante des serverseitigen JScript China Chopper.

Sechs Tage nach der Installation, am 12. März 2021, verwendeten die Angreifer die installierte Webshell, um PowerShell-Befehle auszuführen, Informationen vom lokalen Server und Active Directory zu sammeln und Zugangsdaten vom kompromittierten Exchange-Server zu stehlen. Die Cyberkriminellen komprimierten dann die Dateien, die mit dem Sammeln von Informationen und Zugangsdaten verbunden waren, indem sie Cabinet-Dateien erstellten, die in einem Ordner gespeichert wurden, den der IIS-Server (Internet Information Services) dem Internet zur Verfügung stellt. Die Akteure versuchten, diese Cabinet-Dateien zu exfiltrieren, indem sie am 12. und 13. März 2021 direkt zu ihnen navigierten.

Die Security-Forscher analysierten die IP-Adressen der eingehenden Anfragen zum Ausführen der Befehle über die installierte Webshell sowie der Anfragen zum Herunterladen der resultierenden Dateien. Keine der beobachteten IP-Adressen schienen eigene Infrastrukturen der Angreifer zu sein, und es handelte sich wahrscheinlich um eine Auswahl von frei verfügbaren Proxys, VPNs und kompromittierten Servern. Die in den Protokollen gesichteten IP-Adressen lieferten keine Anhaltspunkte für weitere Aktivitäten.

Die Analysten von Unit 42 glauben, dass die Angreifer die Interaktion mit der Webshell automatisiert haben, um die beiden separaten PowerShell-Skripte auszuführen. Diese wurden im Abstand von drei Sekunden ausgegeben und hatten zwei verschiedene eingehende IP-Adressen. Es scheint, dass die Automatisierung auch den absichtlichen Wechsel der IP-Adressen beinhaltete, um die Analyse und Korrelation der Aktivität zu erschweren. Die Automatisierung lieferte einen Hinweis darauf, dass die Akteure diesen speziellen Angriff als Teil einer umfangreicheren Angriffskampagne durchgeführt hatten.

Glücklicherweise waren die Bemühungen der Angreifer, Zugangsdaten bei einem betroffenen Finanzinstitut in der EMEA-Region zu sammeln, nicht erfolgreich, da die eingehenden Anfragen zum Herunterladen des Speicherabbilds vom LSASS-Prozess (Local Security Authority Subsystem Service) fehlschlugen. Als zusätzliche Schutzmaßnahme war auf dem Exchange-Server Cortex XDR mit aktiviertem Password Theft Protection-Modul installiert. Dadurch wurden die Pointer zu den gewünschten Zugangsdaten aus dem Speicherauszug entfernt, was die Möglichkeit der Angreifer vereitelt hätte, mithilfe von Mimikatz Zugangsdaten aus dem Speicherauszug zu extrahieren, selbst wenn sie die Datei erfolgreich hätten herunterladen können.

Es scheint, dass dies nur ein Vorfall in einer groß angelegten Kampagne ist, die entweder von einem einzelnen Hacker oder mehreren Angreifern mit einem gemeinsamen Tool-Set durchgeführt wurde. Unit 42 fand 177 Webshells, die mehrere gemeinsame Attribute und ein ähnliches Verhalten wie die Webshell aufwiesen, welche die Angreifer bei diesem Vorfall verwendet haben. Die Unternehmen, die von diesen verwandten Webshells betroffen waren, gehörten verschiedenen Branchen und geografischen Standorten an, was darauf hindeutet, dass die Akteure opportunistisch agieren und wahrscheinlich nach Exchange-Server scannen, die kompromittiert werden sollen, anstatt eine feste Liste von Zielen abzuarbeiten.