【安全资讯】APT35组织利用ProxyShell漏洞部署勒索软件

猎影实验室 2021-11-29 06:56:59 886人浏览

引言

9 月下旬,研究人员观察到了与伊朗相关的APT35组织的攻击活动。攻击者利用了Microsoft Exchange中的ProxyShell漏洞获得了初始访问权限,最终部署勒索软件。ProxyShell是三个漏洞组合的名称:CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207。攻击者可以利用这些漏洞在 Exchange 服务器上以 SYSTEM 权限执行任意代码。

 

 

简况

Phosphorus又名 APT35、Charming Kitten、Newscaster、TA453、Magic Hound 等,该组织疑似是伊朗国家运营的APT组织。此次攻击的时间线如下:

 

攻击者利用ProxyShell漏洞获得初始访问权限后,通过事先释放的 web shell 执行 ipconfig、net、ping、systeminfo 等命令。攻击者启用了内置帐户 DefaultAccount,设置密码并将其添加到管理员和远程桌面用户组,随后释放Plink,并建立了一个 SSH 隧道,以通过隧道公开 RDP。

 

 

随后,该组织使用 DefaultAccount 帐户通过 RDP 连接到 Exchange 服务器,然后通过 RDP 将工具复制到环境中。传输的压缩文件中包括:

  • CacheTask.bat
  • CacheTask.xml
  • dllhost.exe
  • install-proxy.bat
  • RuntimeBroker

 

文件传输完成后,攻击者立即执行 install-proxy.bat 创建两个目录,并将 CacheTask.bat、dllhost.exe 和 RuntimeBroker 移动到各自的文件夹中。创建并执行计划任务以执行 install-proxy.bat,从而建立网络持久性。利用Plink RDP连接,攻击者使用任务管理器转储了LSASS。30 分钟后,攻击者开始使用域管理员帐户,使用 KPortScan 3.0 执行端口扫描,然后使用 RDP 横向移动。最后,攻击者使用 RDP 在服务器上部署 setup.bat。Setup.bat 运行命令以启用 BitLocker 加密,这将导致主机无法运行。

 

 

 

加密成功后,攻击者留下了赎金票据,要求受害者支付 8,000 美元以获取系统的加密密钥。从第一次成功利用 ProxyShell 到勒索赎金,此次入侵的时间约为 42 小时。

失陷指标(IOC)12
APT APT35 勒索软件 BitLocker 漏洞利用 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。