La Cybersecurity and Infrastructure Security Agency (CISA) e la Nation Security Agency (NSA) hanno emesso un avviso congiunto sulla sicurezza informatica su più gruppi di minacce persistenti avanzate (APT) che hanno compromesso un’organizzazione del settore della base industriale di difesa (DIB) e hanno esfiltrato dati sensibili.
La CISA e una società di risposta agli incidenti di terze parti Mandiant hanno risposto a un incidente di sicurezza della rete tra novembre 2021 e gennaio 2022. Entrambi i team di risposta hanno scoperto un attore di minacce sulla rete della vittima. L’agenzia di sicurezza federale ha anche scoperto che più attori delle minacce avevano accesso all’ambiente della vittima, con possibile persistenza a lungo termine.
“Durante le attività di risposta agli incidenti, la CISA ha scoperto che probabilmente più gruppi APT hanno compromesso la rete dell’organizzazione e alcuni attori APT hanno avuto un accesso a lungo termine all’ambiente”, ha avvertito l’avviso sulla sicurezza informatica.
Successivamente, CISA e NSA hanno pubblicato un avviso congiunto con indicatori di compromissione e possibili mitigazioni.
I gruppi APT hanno utilizzato strumenti open source per compromettere un’organizzazione di difesa
La CISA ha affermato che gli attori delle minacce hanno sfruttato un toolkit open source chiamato Impacket, uno strumento python per manipolare i protocolli di rete, mantenere la persistenza e tentare di spostarsi lateralmente. Impacket utilizza i protocolli Strumentazione gestione Windows (WMI) e Server Message Block (SMB) per creare una shell semi-interattiva in grado di eseguire comandi in remoto.
Gli hacker hanno utilizzato Impacket anche per accedere agli account di servizio con privilegi, che hanno utilizzato per accedere al server Microsoft Exchange dell’organizzazione tramite il client Outlook Web Access (OWA). Quattro ore dopo aver compromesso l’ambiente, gli aggressori hanno eseguito ricerche nelle cassette postali e hanno effettuato l’accesso all’API dei servizi Web di Exchange.
Inoltre, gli aggressori hanno utilizzato uno strumento di esfiltrazione dei dati personalizzato CovalentStealer, per esfiltrare i dati sensibili. CovalentStealer può rilevare condivisioni di rete, indirizzare file utilizzando percorsi e caricare documenti rubati su un server remoto.
Secondo l’avviso sulla sicurezza informatica, gli hacker hanno rubato informazioni relative ai contratti, e-mail aziendali, riunioni e contatti.
Vulnerabilità di Microsoft Exchange Server in gioco
All’inizio di marzo 2021, gli attori APT hanno sfruttato le vulnerabilità CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 per installare 17 shell web China Chopper.
La sequenza temporale della violazione coincide con il picco di sfruttamento della vulnerabilità CVE-2021-26855 di Microsoft Exchange Server ProxyLogon.
Successivamente, a marzo 2021, gli aggressori hanno installato il trojan di accesso remoto (RAT) HyperBro per creare backdoor. La backdoor HyperBro può scaricare e caricare file da un sistema compromesso, registrare le sequenze di tasti ed eseguire comandi sul sistema.
Diversi gruppi APT di stati nazionali hanno avuto accesso all’ambiente di una compagnia di difesa
Le agenzie di sicurezza non hanno implicato alcun particolare gruppo di hacker, ma hanno suggerito che più gruppi APT avessero accesso.
Gli hacker cinesi Hafnium (APT40) sono stati i principali colpevoli dello sfruttamento di ProxyLogon CVE-2021-26855, sfruttato anche durante l’attacco all’organizzazione di difesa. L’emissario Panda (APT27, Lucky Mouse, Bronze Union e Budworm) aveva schierato HyperBro RAT contro le organizzazioni commerciali tedesche all’inizio del 2022. Poiché erano coinvolti più gruppi APT, probabilmente erano coinvolti sia APT27 che APT40. Altri gruppi APT meno probabili includono PHOSPHORUS o DEV-0270 iraniano e LAZARUS APT della Corea del Nord, che sfruttano Impacket.
“Le implicazioni sulla sicurezza nazionale di questa campagna di spionaggio sono significative”, ha affermato Tom Kellermann, vicepresidente senior della strategia informatica di Contrast Security. “L’attore cinese dietro questa intrusione rappresenta la loro ‘squadra A’. Con le tensioni che ribollono su Taiwan, presumiamo che si stiano verificando più di queste infiltrazioni”.
Kellermann suggerì che i gruppi APT potessero passare da un’isola all’altra dalla compagnia di difesa all’esercito.
“L’espansione della caccia alle minacce tra i server di Exchange Microsoft e gli endpoint dei relativi amministratori è fondamentale”, ha aggiunto. “La mia più grande preoccupazione è se l’integrità dei dati sia stata manipolata dopo lo sfruttamento”.
Gli hacker hanno compromesso una società di difesa utilizzando l’account di un ex dipendente
L’avviso congiunto ha anche rivelato che gli aggressori hanno utilizzato credenziali valide per accedere ai sistemi compromessi da metà gennaio 2022.
Un account utilizzato per accedere ai servizi Web Exchange (EWS) apparteneva a un ex dipendente. Tuttavia, la CISA non ha rivelato come gli aggressori abbiano ottenuto le credenziali.
Gli attori delle minacce hanno utilizzato reti private virtuali (VPN) e server privati virtuali di M247 e SurfShark per accedere a Exchange Server. La CISA ha osservato che i criminali informatici utilizzano spesso questi fornitori per la loro capacità di nascondere le interazioni tra gli aggressori e le reti delle vittime.
Terry Olaes, Director of Sales Engineering di Skybox Security, ha affermato che l’avviso è stato un promemoria per includere i dispositivi dell’infrastruttura nei programmi di gestione delle vulnerabilità.
“I team di sicurezza devono valutare rapidamente il rischio di vulnerabilità rappresentato sia dagli endpoint che dalle risorse dell’infrastruttura senza attendere che altri team, come le funzioni della piattaforma e della rete, forniscano un feedback”, ha concluso.