Investigadores de ESET han descubierto más de una decena de grupos APT explotando las vulnerabilidades de Microsoft Exchange con el objetivo de comprometer servidores de correo. En total, se han descubierto más de 5.000 servidores de correo repartidos por todo el mundo que han sido afectados por este incidente, por lo que la amenaza no se reduce al grupo Hafnium, como parecía en un principio.
A principios de este mes, Microsoft lanzó un conjunto de parches para las versiones 2013, 2016 y 2019 de Exchange Server y que servían para resolver una serie de vulnerabilidades que permitirían la ejecución de código remoto. Estas vulnerabilidades permitirían a los atacantes tomar el control de cualquier servidor Exchange sin necesidad de conocer las credenciales de autenticación, por lo que los servidores de Exchange conectados a Internet se convirtieron en especialmente vulnerables.
“El día después de publicar los parches, comenzamos a observar a varios grupos de delincuentes escanear y comprometer de forma masiva servidores Exchange. Curiosamente, todos estos ataques estaban siendo llevados a cabo por grupos APT especializados en espionaje, excepto uno que suele realizar campañas de minería de criptomonedas. Sin embargo, es inevitable pensar que cada vez se unan a los ataques más grupos, incluyendo operadores de ransomware”, advierte Matthieu Faou, investigador de ESET que está liderando el análisis de esta cadena de vulnerabilidades contra Exchange. “ESET descubrió que algunos grupos APT estaban explotando las vulnerabilidades incluso antes de que se publicaran los parches, lo que descarta la posibilidad de que esos grupos hayan preparado los exploits aplicando ingeniería inversa a las actualizaciones de Microsoft”.
La telemetría de ESET descubrió la presencia de webshells (programas maliciosos o scripts que permiten el control remoto de un servidor desde un navegador) en alrededor de 5.000 servidores en más de 115 países y que estarían siendo utilizadas por más de diez grupos APT.
Los grupos identificados hasta ahora son:
- LuckyMouse: ha comprometido un servidor de correo en una entidad gubernamental de Oriente Medio. Parece ser que tuvo acceso al exploit al menos un día antes de la publicación de los parches por parte de Microsoft, cuando se trataba aún de un zero-day.
- Calypso: ha comprometido servidores de correo en entidades gubernamentales de Oriente Medio y Suramérica. Parecer ser que el grupo tuvo acceso al exploit como un zero-day. Posteriormente, este grupo atentó contra entidades públicas y privadas en África, Asia y Europa.
- Tick: ha comprometido un servidor web de una compañía asiática de servicios tecnológicos. De igual manera que LuckyMouse o Calypso, parecer ser que este grupo tuvo acceso al exploit antes de la publicación de los parches.
- Websiic: ha atacado a siete servidores de correo de empresas privadas relacionadas con la tecnología, las telecomunicaciones y la ingeniería en Asia y de una entidad pública en Europa Oriental.
- Winnti Group: ha comprometido los servidores de correo de una compañía petrolífera y de un fabricante de equipamientos de construcción en Asia. Parecer ser que el grupo tuvo acceso al exploit antes de la publicación de los parches.
- Tonto Team: han comprometido servidores de correo de una empresa de compras y de una consultora especializada en el desarrollo de software y ciberseguridad en Europa Oriental.
- ShadowPad: ha comprometido los servidores de correo de un desarrollador de software asiático y de una inmobiliaria de Oriente Medio. ESET ha detectado una variante de la backdoor de ShadowPad desplegada por un grupo desconocido.
- Opera Cobalt Strike: atacó a alrededor de 650 servidores en Europa y EEUU unas horas después de que los parches se publicaran.
- Backdoors de IIS: ESET ha observado backdoors de IIS instalados a través de webshells en cuatro servidores de correo en Asia y Suramérica; una de las backdoors se conoce como Owlproxy.
- Mikroceen: ha comprometido el servidor de una compañía energética de Asia Central, la zona en la que este grupo opera normalmente.
- DLTMiner: ESET ha detectado el despliegue de downloaders PowerShell en diferentes servidores de correo a los que se había intentado acceder mediante las vulnerabilidades de Exchange. La infraestructura de red utilizada en este ataque se usó ya en otra campaña de minería de criptomonedas.
“La recomendación más clara que podemos hacer es que se instalen los parches de Exchange lo antes posible. Incluso para aquellos que no estén conectados a Internet. En caso de compromiso, los administradores de red deberían eliminar las webshells, modificar las credenciales e investigar cualquier actividad sospechosa adicional. El incidente nos recuerda que las aplicaciones más críticas, como Exchange o SharePoint no deben quedar expuestasen Internet”, concluye el investigador de ESET.