【安全资讯】研究人员发现COBALT GYPSY组织与针对Exchange 服务器的攻击有关

引言

研究人员一直在调查一个长期运行的入侵活动，在 2021 年 4 月的一次威胁追踪活动中，研究人员在客户环境中的多个主机上发现了 web shell，随后分析发现了SharePoint 服务器曾遭到入侵，本地 Exchange 服务器也曾遭到入侵。研究人员分析称这两组活动是不相关的，并且是由不同的威胁组织发起的。经过分析，研究人员怀疑对Exchange服务器的入侵活动与伊朗威胁组织COBALT GYPSY有关。

简况

2019 年 4 月，攻击者利用 SharePoint 远程代码执行漏洞CVE-2019-0604破坏了客户环境中的多台 SharePoint 服务器，导致了多个 web shell 的创建。 2020 年末，客户环境中的 Exchange Server 上安装了一个基本的文件上传和命令执行web shell。初始访问可能是通过利用 CVE-2020-0688 实现的。没有证据表明此活动与 2019 年 SharePoint 被攻击的活动有关。 2021 年初，研究人员发现环境中的其他 Exchange Server 上安装了相同的 web shell ，且可能使用相同的受感染管理员帐户。三个月后，攻击者使用相同的主机名和相同的受损凭据重新进入环境以上传 TransportClient.dll Web shell，这个Web shell可以通过CMD.EXE直接执行命令，也可以发送命令到“splsvc”。创建 splsvc的PowerShell脚本如下：

TransportClient.dll 包含一个 PDB 字符串，字符串中的元素导致研究人员将这个 web shell 命名为“SheepTransportShell”。攻击者使用Appcmd.exe Internet 信息服务 (IIS) 实用程序来安装 SheepTransportShell。多个威胁组织都使用这种技术，包括伊朗COBALT LYCEUM威胁组织。

研究人员经过分析表明，一个伊朗威胁组织（可能是 COBALT GYPSY），应对从Exchange服务器入侵开始的活动负责，原因如下：

1.入侵的长期性质 ─ 强调持久性、多个入口点和持续时间是威胁行为者专注于间谍活动而不是经济利益的典型特征。

2.受影响组织的性质 ─研究人员在第三方报告中描述的目标和活动与伊朗威胁组织的目标一致。

3.数据入口和出口技术——威胁行为者使用了pipedream的子域，这是一种提供类似 webhook 功能的服务。伊朗团体以前曾使用过类似的服务。这些服务允许攻击者返回对命令和控制 (C2) 流量的自定义响应，并且这些服务的流量对网络防御者来说可能是合法的。

4.web shell的使用 ─ web shell与以前与伊朗威胁组织（如 COBALT GYPSY）相关的web shell相似。将恶意 IIS 模块用于 SheepTransportShell web shell 很容易让人联想到 RGDoor 后门，它与 COBALT GYPSY 和 COBALT LYCEUM 相关联。

总结

研究人员认为，伊朗威胁组织将继续对网络安全构成重大威胁。威胁行为者积极寻找可以武器化的漏洞，在获得对受感染网络的访问权限后，他们会尝试建立多个入口点并窃取合法用户凭据，以在修补漏洞后仍保持访问权限。除了打补丁之外，组织还必须在端点上获得可见性，特别是面向internet和业务关键的服务器。这种可见性使网络防御者能够检测并快速响应网络入侵。