Изображение: ZDNet
Национальные хакеры взломали сети двух муниципалитетов США в прошлом году, сообщили в ФБР в предупреждении по безопасности, разосланном частным отраслевым партнерам на прошлой неделе.
Хакеры взяли после того, как злоумышленники использовали уязвимость CVE-2019-0604 на серверах Microsoft SharePoint, чтобы проникнуть в сети двух муниципалитетов.
ФБР говорит, что, как только злоумышленники обосновались в этих сетях, «злоумышленные действия включали в себя проникновение пользовательской информации , повышение административных привилегий и удаление веб-оболочек для удаленного / бэкдора постоянного доступа. "
" Из-за изощренности компромисса и использованных тактик, методов и процедур (TTP), ФБР считает неопознанную страну В этом компромиссе участвуют действующие лица », — говорится в сообщении агентства о безопасности.
ФБР не может сказать, были ли оба вторжения осуществлены одной и той же группой. Агентство также не назвало два взломанных муниципалитета; однако, он сообщил о двух нарушениях более подробно, перечисляя шаги злоумышленников в каждом инциденте.
Содержание статьи
Муниципалитет № 1:
Непатентованный сервер SharePoint использовался для получения доступа к сети муниципалитета США, кражи базы данных Active Directory (AD), взлома административных учетных данных и удаления веб-оболочек для удаленного / черного доступа к скомпрометированным серверам.
Четыре aspxwebshells, все из которых представляли собой варианты общедоступных или открытых веб-оболочек, были загружены на скомпрометированный сервер SharePoint и использованы для облегчения дополнительного доступа. Кибер-акторы загрузили различные общедоступные инструменты сбора учетных данных с открытым исходным кодом, такие как Mimikatz, PowerSploit framework и PSEXEC, в каталог C: ProgramData . Актеры называли большинство инструментов однобуквенными именами файлов (например, k.exe и h.bat), прежде чем развертывать их в других системах в сети.
Сервер SharePoint использовался в качестве точки поворота в сети, позволяя несанкционированный доступ через скомпрометированные учетные данные локального администратора. По крайней мере, пять компьютеров в сети муниципалитета содержали доказательства выполнения исполняемых файлов с одинаковыми именами, размещенных в каталоге C: ProgramData . Более 50 хостов в сети показали доказательства выполнения Mimikatz. Есть также свидетельства того, что актеры использовали технику kerberoasting для нацеливания билетов службы Kerberos. Актеры смогли успешно получить доступ к нескольким учетным записям администраторов доменов.
Похоже, что вторжение было обнаружено, когда актеры все еще находились на этапе разведки вторжения, поэтому их реальные цели цель не может быть определена.
Муниципалитет № 2:
В октябре 2019 года сеть второго муниципалитета США была атакована несанкционированными пользователями. Активность вторжения была обнаружена, когда были обнаружены команды управления и контроля (C2) из сегмента сети DMZ.
На веб-сайте отсутствовали исправления, что привело к компрометации. Кибер-субъекты использовали существующую инфраструктуру мониторинга сети, а также сторонние сервисы для бокового перемещения в пределах ДМЗ. Эта активность была обнаружена, когда злоумышленники получили доступ к двум другим узлам в сегменте DMZ — серверу SQL и серверу Microsoft Exchange, действующему в качестве сервера пересылки SMPT. Эти серверы являются частью домена AD, и были обнаружены действия, указывающие на таргетинг службы AD.
Китайские хакеры из национальных государств ранее использовали эту ошибку
Атаки в муниципалитетах США это не единичные случаи и не первые атаки, в которых использовалась уязвимость CVE-2019-0604 SharePoint.
В течение 2019 года эта конкретная уязвимость SharePoint была одной из наиболее уязвимых уязвимостей безопасности, поскольку как финансово мотивированные киберпреступники, так и группы кибершпионажа, спонсируемые государством.
Первые обнаруженные атаки были обнаружены Канадским центром кибербезопасности в конце апреля, когда агентство разослало систему безопасности. бдительность по этому вопросу. Саудовский национальный центр кибербезопасности (NCSC) подтвердил аналогичную волну атак неделю спустя, в начале мая.
Оба агентства по кибербезопасности сообщили, что злоумышленники захватывают серверы SharePoint для установки версии веб-оболочки China Chopper, тип вредоносного ПО, установленного на серверах, который позволяет хакерам контролировать взломанные (SharePoint) серверы.
Ни одно из этих агентств не назвало виновников этих атак, но американская компания по кибербезопасности Palo Alto Networks связала эти два отчета с APT27 (эмиссар). Panda), хакерская группа, связанная с китайским правительством.
Неясно, была ли та же самая китайская хакерская группа также за нападениями на два муниципалитета США. ZDNet не может подтвердить какие-либо связи между отчетом ФБР и прошлой активностью APT27 и индикаторами компромисса.
В течение года атаки с использованием этой ошибки только усиливались По мере того, как различные хакерские группы начали осознавать эту уязвимость, которую было легко использовать, было множество компаний, которые не смогли исправить, и атаки обычно давали доступ к множеству ценных корпоративных целей.
В Предупреждение о безопасности, разосланное на прошлой неделе, сообщило о том, что в мае, июне и октябре 2019 года наблюдалось всплеск активности сканирования, направленного на уязвимость SharePoint CVE-2019-0604, что подтверждает только то, что ZDNet узнал из источников об увеличении числа SharePoint. атаки продолжались в 2019 году.
Сканированию и атакам с использованием этой уязвимости способствовало наличие большого количества технических статей, объясняющих ошибку [1, 2, 3]а также избыток демонстрационного опыта Исследователи систем безопасности могут свободно выбирать код, который злоумышленники могут выбирать и настраивать под свои нужды [1, 2, 3, 4, 5].
Но в 2019 году, когда у нас появились уязвимости, такие как BlueKeep, DejaBlue, и многочисленные недостатки безопасности VPN, ошибка SharePoint осталась незамеченной, несмотря на довольно интенсивное сканирование, и даже подтвердила атаки, предпринятые хакерскими группами национальных государств.
До предупреждения безопасности ФБР на прошлой неделе не было никаких других подобных уведомлений безопасности рассылается другими крупными агентствами по кибербезопасности, такими как DHS CISA или британский NCSC.
Оглядываясь назад, ожидается, что атаки продолжатся, так как в сети все еще находится большое количество незапатченных серверов SharePoints, несмотря на в следующем месяце патч приближается к годовщине.
Одна из причин, по которой многие серверы остаются не исправленными, заключается в том, что Microsoft запустила процесс исправлений. Компании потребовалось три исправления, чтобы полностью решить эту проблему, причем исправления были выпущены в феврале, марте и апреле.
Некоторые компании могли установить февральское исправление, думая, что они безопасны, но не зная, что было больше Полное исправление было выпущено в апреле.
Как отметили несколько экспертов по кибербезопасности в Twitter, эта уязвимость довольно серьезна, и организациям следует проверить, установили ли они все три исправления.
Я настоятельно призываю все организации с SharePoint срочно установить исправление CVE-2019-0604, начиная с февраля 2019 года. Оно все еще широко доступно в Интернете, и уязвимым является 100% надежное предавторизованное удаленное выполнение кода.
— Кевин Бомонт (@GossiTheDog) 5 января 2020 года
Чувство срочности в решении этой проблемы должно быть легко понять.
Ошибка — это так называемый pre-auth RCE (удаленное выполнение кода до аутентификации). Предварительно авторизованные RCE чрезвычайно привлекательны для злоумышленников, поскольку их легко автоматизировать и эксплуатировать.
Во-вторых, SharePoint является очень популярным продуктом, и Microsoft может похвастаться более чем 200 000 установок по всему миру, что делает его огромная поверхность атаки, большинство из которых представляют собой ценные правительственные организации и крупные корпорации.
