US Business News

Regulator bank Chili membagikan IOC setelah peretasan Microsoft Exchange

Microsoft Exchange


Comisión para el Mercado Financiero (CMF) Chili telah mengungkapkan bahwa server Microsoft Exchange mereka telah disusupi melalui kerentanan ProxyLogon yang baru-baru ini diungkapkan.

CMF beroperasi di bawah Kementerian Keuangan dan merupakan regulator dan inspektur untuk bank dan lembaga keuangan di Chili.

Minggu ini, CMF mengungkapkan bahwa mereka mengalami serangan siber setelah pelaku ancaman mengeksploitasi kerentanan ProxyLogon yang baru-baru ini diungkapkan di server Microsoft Exchange mereka untuk memasang cangkang web dan mencoba mencuri kredensial.

“Komisi untuk Pasar Keuangan (CMF) memperbarui informasi tentang insiden operasional yang dilaporkan kemarin, yang disebabkan oleh kerentanan di platform email Microsoft Exchange.”

“Analisis yang dilakukan oleh keamanan informasi dan area teknologi CMF, bersama dengan dukungan khusus eksternal, sejauh ini menolak keberadaan ransomware dan menunjukkan bahwa insiden tersebut akan terbatas pada platform Microsoft Exchange,” ungkap Comisión para el Mercado Financiero.

CMF selanjutnya menyatakan bahwa mereka sedang menyelidiki pelanggaran tersebut dan telah menghubungi Tim Respons Insiden Keamanan Komputer (CSIRT) dari Kementerian Keuangan.

CMF membagikan IOC tentang serangan mereka

Untuk membantu profesional keamanan dan administrator Microsoft Exchange lainnya, CMF telah merilis IOC web shell dan file batch yang ditemukan di server mereka yang disusupi.

  • 0b15c14d0f7c3986744e83c208429a78769587b5: error_page.aspx (shell web China Chopper)
  • bcb42014b8dd9d9068f23c573887bf1d5c2fc00e: supp0rt.aspx (shell web China Chopper)
  • 0aa3cda37ab80bbe30fa73a803c984b334d73894: test.bat (file batch untuk membuang lsass.exe)

Sementara indikator kompromi (IOC) akan memiliki hash file yang berbeda untuk setiap korban, dalam banyak serangan, nama filenya sama.

Kerang web yang menggunakan nama ‘error_page.asp’ dan ‘supp0rt.aspx’ telah digunakan dalam banyak serangan ProxyLogon, dan sebagian besar, identik dengan hanya sedikit perubahan khusus untuk korban.

File ini adalah Buku Alamat Offline Microsoft Exchange (OAB), yang pengaturan ExternalUrl-nya telah diubah ke cangkang web China Chopper. Shell web ini memungkinkan pelaku ancaman untuk menjalankan perintah di server Microsoft Exchange yang disusupi dari jarak jauh dengan mengunjungi URL yang dikonfigurasi di pengaturan ExternalURL.

Buku Alamat Offline Microsoft Exchange (OAB) dengan cangkang web
Buku Alamat Offline Microsoft Exchange (OAB) dengan cangkang web

File batch, test.bat, juga biasa terlihat dalam serangan ProxyLogon dan digunakan untuk membuang memori proses LSASS untuk memanen kredensial domain Windows. File batch juga mengekspor daftar pengguna di domain Windows.

Perintah yang ditunjukkan di bawah ini akan menggunakan comsvcs.dll LOLBin untuk membuang memori LSASS ke file di wwwroot server IIS. Kemudian menggunakan dsquery untuk mengekspor daftar pengguna di domain Windows ke file.

File-file ini kemudian di-zip di wwwroot untuk diunduh dari jarak jauh oleh pelaku ancaman.

Membuang memori proses LSASS
Membuang memori proses LSASS

Sementara sebagian besar serangan Microsoft Exchange telah menyebarkan cangkang web, memanen kredensial, dan mencuri kotak surat, beberapa serangan juga menginstal cryptominers, dan baru-baru ini, ransomware DearCry di server yang dieksploitasi.

Untuk membantu administrator menemukan file berbahaya yang dijatuhkan dalam serangan ini, Microsoft telah merilis skrip yang mencari log Microsoft Exchange untuk IOC dan telah memperbarui Microsoft Safety Scanner (MSERT) mereka untuk mendeteksi cangkang web yang dikenal.

Terimakasih untuk Fernandez Jerman untuk tip berita!


Author : Toto SGP