【安全资讯】APT35组织利用ProxyShell漏洞部署勒索软件

引言

9 月下旬，研究人员观察到了与伊朗相关的APT35组织的攻击活动。攻击者利用了Microsoft Exchange中的ProxyShell漏洞获得了初始访问权限，最终部署勒索软件。ProxyShell是三个漏洞组合的名称：CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207。攻击者可以利用这些漏洞在 Exchange 服务器上以 SYSTEM 权限执行任意代码。

简况

Phosphorus又名 APT35、Charming Kitten、Newscaster、TA453、Magic Hound 等，该组织疑似是伊朗国家运营的APT组织。此次攻击的时间线如下：

攻击者利用ProxyShell漏洞获得初始访问权限后，通过事先释放的 web shell 执行 ipconfig、net、ping、systeminfo 等命令。攻击者启用了内置帐户 DefaultAccount，设置密码并将其添加到管理员和远程桌面用户组，随后释放Plink，并建立了一个 SSH 隧道，以通过隧道公开 RDP。

随后，该组织使用 DefaultAccount 帐户通过 RDP 连接到 Exchange 服务器，然后通过 RDP 将工具复制到环境中。传输的压缩文件中包括：

• CacheTask.bat
• CacheTask.xml
• dllhost.exe
• install-proxy.bat
• RuntimeBroker

文件传输完成后，攻击者立即执行 install-proxy.bat 创建两个目录，并将 CacheTask.bat、dllhost.exe 和 RuntimeBroker 移动到各自的文件夹中。创建并执行计划任务以执行 install-proxy.bat，从而建立网络持久性。利用Plink RDP连接，攻击者使用任务管理器转储了LSASS。30 分钟后，攻击者开始使用域管理员帐户，使用 KPortScan 3.0 执行端口扫描，然后使用 RDP 横向移动。最后，攻击者使用 RDP 在服务器上部署 setup.bat。Setup.bat 运行命令以启用 BitLocker 加密，这将导致主机无法运行。

加密成功后，攻击者留下了赎金票据，要求受害者支付 8,000 美元以获取系统的加密密钥。从第一次成功利用 ProxyShell 到勒索赎金，此次入侵的时间约为 42 小时。