El año 2021 y 2022 ha estado marcado por vulnerabilidades críticas de MS Exchange que podrían permitir a actores de amenazas el acceso a información confidencial para diferentes fines, tanto para el despliegue de ransomware como para la divulgación de la información como ha sido el emblemático caso de Guacamaya en LATAM
Ante estos antecedentes, múltiples actores de amenaza como Play ransomware y Fin7 han dirigido sus esfuerzos en vulnerar este servicio y que si bien no se han identificado vulnerabilidades Zero-Day, han aplicado CVE conocidos para lograr sus objetivos generando el menor grado de detección posible.
OWASSRF [Outlook Web Aplication Server Side Request Forgery]
Recientemente investigadores de CrowdStrike han realizado un análisis a un nuevo metodo de explotacion a servidores Exchange y que pese a ser similar a ProxyNotShell carece de consistencia ya que la nueva técnica permite generar un Bypass a las mitigaciones oficiales entregadas por Microsoft para este conjunto de vulnerabilidades y ha permitido que actores de amenaza la utilicen para sus operaciones.
Las vulnerabilidades vinculadas a ProxyNotShell son en primera instancia el uso de CVE-2022-41080 (FrontEnd) y posteriormente CVE-2022-41082 (BackEnd), Sin embargo, mediante el análisis de investigadores se ha logrado identificar que el primer acceso está dado por CVE-2022-41040 (FrontEnd) el cual en vez de generar una elevación de privilegios, realiza un SSRF (Server side request forgery).
Ilustración 1 - Vector de ataque por CVE
Fuente: https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
Este método de explotación ha levantado las alarmas y ha llevado a investigadores a revisar los eventos de las víctimas debido a que recientemente se han evidenciado al actor de amenaza Play Ransomware realizando gran cantidad de ataques utilizando un vector de entrada mediante Exchange pero que hasta el momento no se conocían detalles de cómo se realizaba.
Adicionalmente, mediante un tweet de un investigador, se ha dado con un repositorio que dispone de un kit de herramientas utilizadas por operadores de ransomware para sus operaciones y que si bien ya no permanece disponible, dicho usuario ha realizado una descarga de los mismos para posteriormente disponerlos al público para su análisis.
Tweet de hallazgo:
Ilustración 1 - Tweet del Hallazgo
Fuente: https://twitter.com/Purp1eW0lf/status/1602989967776808961?s=20
Es importante destacar que el hallazgo de este tipo de ataques si bien no ha sido ejecutado de forma masiva, podría permitir que otros actores de amenaza lo tomen como base de conocimiento para el desarrollo de sus TTP´s, sin embargo, al hacer este reporte conocido masivamente favorece a que su identificación sea más sencilla y que los atacantes que privilegien técnicas nuevas, deban modificar sus arsenal de herramientas.
Base de conocimiento:
Play Ransomware
Este ransomware se encuentra operativo desde junio de 2022 donde uno de sus primeros hitos fue el ataque al Poder Judicial de Córdoba y desde entonces no ha cesado sus operaciones sumando aproximadamente 35 víctimas, en donde cada una de ellas le ha permitido sumar más expertis a su arsenal de herramientas .
Este actor de amenazas ha llevado al desarrollo de técnicas novel que le ha permitido acceder a organizaciones a través de explotaciones de MS Exchange causando gran revuelo y por tanto sumar interés de investigadores para revelar sus metodologías, pudiendo determinar el uso de vulnerabilidades existentes pero utilizadas de diferente forma con fin de evadir detecciones por plataformas de seguridad.
FIN7
FIN7 es uno de los esquemas de malware más sofisticados y agresivos de los últimos tiempos, que consiste en docenas de ciber delincuentes principalmente de habla rusa motivados financieramente y activos al menos desde 2012.
FIN7 utiliza un arsenal de herramientas de malware junto a técnicas en constante evolución, y controla las computadoras infectadas a través de una compleja red de servidores ubicados en todo el mundo. Los autores intelectuales detrás de Fin7 crearon un negocio de seguridad informática falso llamado “Combi Security”, que utilizaron para reclutar nuevos miembros y agregar falsa legitimidad al esquema del cibercrimen.
Se han asociado con ataques contra cajeros automáticos , ocultando unidades USB que contienen malware dentro de osos de peluche, estableciendo firmas de ciberseguridad falsas para contratar pentesters para ataques de ransomware y más.
Adicionalmente este grupo utiliza un sistema de ataque automatizado que explota las vulnerabilidades de inyección de Microsoft Exchange y SQL para violar las redes corporativas, robar datos y seleccionar objetivos para ataques de ransomware en función del tamaño financiero.
FIN 7 Y Microsoft Exchange
A partir de junio de 2021, FIN7 creó un sistema de ataque automatizado llamado Checkmarks basado en el framework Django para descubrir automáticamente puntos finales vulnerables dentro de las redes de las empresas y explotarlos para obtener acceso mediante implantación de web shells a través de PowerShell, esto permitió al equipo identificar y explotar vulnerabilidades en servidores de Exchange en todo el mundo.
Una vez que los dominios de destino se agregan al panel de administración, el servicio de escáner usa la IP dada para escanear el servidor de Exchange en busca de archivos vinculados a OWA. Si en este punto se detecta un servidor de Exchange en cualquiera de los dominios, se ejecuta automáticamente el exploit e instala un shell a través de Powershell. El panel denominado Checkmarks no solo realiza explotación, sino que también proporciona varios detalles sobre la víctima como herramienta de identificación.
Ilustración 2: - Sistema de autoataque personalizado Checkmarks: detalles de la víctima.
Fuente: https://www.prodaft.com/resource/detail/fin7-unveiled-deep-dive-notorious-cybercrime-gang
A continuación, el equipo de 'marketing' interno de FIN7 examina las nuevas entradas y agrega comentarios en la plataforma Checkmarks para enumerar los ingresos actuales de las víctimas, la cantidad de empleados, el dominio, los detalles de la sede y otra información que ayuda a los actores de amenaza a determinar si la empresa víctima amerita el tiempo y el esfuerzo de un ataque de ransomware.
Ilustración 3 - vista de datos de organizaciones en Checkmarks
Fuente: https://www.prodaft.com/resource/detail/fin7-unveiled-deep-dive-notorious-cybercrime-gang
FIN7 usó varios exploits para obtener acceso a las redes de destino, incluido su propio código personalizado y PoC disponibles públicamente.
Además de las fallas de MS Exchange, la plataforma de ataque Checkmarks también cuenta con un módulo de inyección SQL que usa SQLMap para buscar fallas potencialmente explotables en el sitio web de un objetivo.
El desarrollo e identificación de la plataforma Checkmarks de FIN7 demuestra cómo los ciberactores están industrializando exploits públicos para realizar ataques a gran escala con un impacto global y de forma automatizada, por tanto, permite una mayor expansión de ataques a medida que se requiere menos interacción humana para lograrlo.
Además, la investigación muestra que en lugar de apuntar específicamente a empresas valiosas, FIN7 se dirige a todos y evalúa qué tan rentable son en una segunda fase.
Jerarquía FIN7
Investigadores revelaron detalles sobre la jerarquía interna de FIN7, afiliaciones con varios proyectos de ransomware y un nuevo sistema de puerta trasera SSH utilizado para robar archivos de redes comprometidas.
Ilustracion 4 - Jerarquia Fin7
Fuente: https://www.prodaft.com/resource/detail/fin7-unveiled-deep-dive-notorious-cybercrime-gang
WorkAround
Apreciación
Los grupos de ransomware y APT continúan representando un grave riesgo para todas las organizaciones, aún más cuando estas cuentan con roles relevantes ya sea por su magnitud o por su pertenencia a gobiernos, es por esto, que actores de amenazas dirigieron sus esfuerzos constantemente en la renovación de sus TTP para lograr comprometer sistemas críticos, por ende, dada la relevancia tecnica, tactica y estrategica que representan los servidores de correo, es que se han visto constantes renovaciones a los metodos y tecnicas de ataque, involucrando grandes cantidades de tiempo, conocimiento y desarrollo, por tanto es esperable que a medida que estos nuevos vectores de ataque sean descubiertos, los actores continúen renovándolos, por tanto es una tarea que merece constantes ciclos de revisión y monitoreo continuos que permitan reducir o mitigar el riesgo al mínimo posible.
Royal Ransomware supera a Lockbit en ataques durante Noviembre |
ENTEL Weekly Threat Intelligence Brief del 12 al 18 de diciembre de 2022 |
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Tipo | Indicador |
---|---|
FIN7 | . |
hash | 0f083aac77fb734a8e81fb9dff2... |
ip | 141[.]94[.]147[.]168 |
ip | 15[.]235[.]156[.]105 |
ip | 15[.]235[.]156[.]115 |
ip | 185[.]117[.]119[.]108 |
ip | 185[.]117[.]88[.]245 |
ip | 37[.]252[.]4[.]131 |
ip | 45[.]133[.]216[.]25 |
ip | 45[.]11[.]180[.]82 |
ip | 138[.]124[.]180[.]226 |
ip | 185[.]172[.]129[.]144 |
dominio | mozillaupdate[.]com |
dominio | milkmovemoney[.]com |
dominio | tableofcolorize[.]com |
dominio | moviedvdpower[.]com |
dominio | landscapesboxdesign9[.]com |
dominio | hawrickday[.]com |
dominio | colormiagi[.]com |
PLAY Ransomware | . |
hash | e641b622b1f180fe189e3f39b34... |
hash | 608e2b023dc8f7e02ae2000fc7d... |
hash | 006ae41910887f0811a3ba2868e... |
hash | e4f32fe39ce7f9f293ccbfde30a... |
hash | 2ab190542c3ec7b2b6e6d4bccce... |