Microsoft: Hackers transformam servidores Exchange em centros de controle de malware
20 de Julho de 2023

A Microsoft e o CERT da Ucrânia alertam sobre novos ataques do grupo de hackers patrocinados pelo estado russo, Turla, que visam a indústria de defesa e servidores do Microsoft Exchange com um novo backdoor de malware 'DeliveryCheck'.

Turla, também conhecido como Secret Blizzard, KRYPTON e UAC-0003, é considerado um ator de ameaça persistente avançado (APT) vinculado ao Serviço Federal de Segurança (FSB) da Rússia.

Os ciberespiões foram associados a uma ampla gama de ataques contra interesses ocidentais ao longo dos anos, incluindo o botnet de malware de ciberespionagem Snake, que foi recentemente interrompido em uma operação de aplicação da lei internacional intitulada Operação MEDUSA.

Em um relatório coordenado e thread no Twitter publicado hoje pelo CERT-UA e Microsoft, pesquisadores descrevem um novo ataque onde os atores de ameaça Turla visam o setor de defesa na Ucrânia e no leste da Europa.

Os ataques começam com e-mails de phishing contendo anexos Excel XLSM que contêm macros maliciosas.

Quando ativados, essas macros executam um comando PowerShell, criando uma tarefa agendada que se passa por um atualizador de navegador Firefox.

No entanto, esta tarefa baixa o backdoor DeliveryCheck (também conhecido como CapiBar e GAMEDAY) e lança-o na memória, onde se conecta ao servidor de comando e controle do ator de ameaça para receber comandos para executar ou implantar outros payloads de malware.

A Microsoft afirma que esses payloads de malware são incorporadas e lançadas a partir de folhas de estilo XSLT.

Após infectar dispositivos, os atores da ameaça utilizam o backdoor para exfiltrar dados dos dispositivos comprometidos usando a ferramenta Rclone.

O que faz o DeliveryCheck se destacar é um componente do lado do servidor do Microsoft Exchange que transforma o servidor em um servidor de comando e controle para os atores da ameaça.

A Microsoft diz que esse componente é instalado usando a Configuração de Estado Desejado, um módulo PowerShell que permite aos administradores criar uma configuração de servidor padronizada e aplicá-la aos dispositivos.

Esse recurso geralmente é usado para criar um modelo de configuração padrão que pode ser usado para configurar automaticamente vários dispositivos com as mesmas configurações.

Os atores da ameaça usam o DSC para carregar automaticamente um executável do Windows codificado em base64 que transforma o servidor Exchange legítimo em um servidor de distribuição de malware.

Durante o ataque, a Microsoft e o CERT-UA também viram o Turla deixar cair o backdoor rouba-informações KAZUAR, um "implante Secret Blizzard totalmente equipado".

Este malware é uma ferramenta de ciberespionagem que permite aos atores de ameaça lançar javascript no dispositivo, roubar dados de logs de eventos, roubar informações sobre arquivos de sistemas e roubar tokens de autenticação, cookies e credenciais de uma ampla variedade de programas, incluindo navegadores, clientes FTP, software VPN, KeePass, Azure, AWS e Outlook.

"O ator da ameaça visa especificamente exfiltrar arquivos contendo mensagens do popular aplicativo de mensagens Signal Desktop, o que permitiria ao ator ler conversas privadas do Signal, além de documentos, imagens e arquivos de arquivo nos sistemas visados", tuitou a equipe de Inteligência de Ameaças da Microsoft.

O CERT-UA diz que compartilhou amostras do novo malware com empresas de cibersegurança para auxiliar na detecção.

No entanto, até o momento, apenas 14/70 fornecedores no VirusTotal detectaram uma amostra submetida do DeliveryCheck como malware, o que provavelmente aumentará à medida que o dia avançar.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...