Windows-Server mit Internetzugriff werden von einem neuen Bedrohungsakteur angegriffen, der “fast vollständig im Arbeitsspeicher” arbeitet, so ein neuer Bericht des Sygnia Incident Response-Teams.
In dem Bericht heißt es, dass der fortschrittliche und hartnäckige Bedrohungsakteur – den sie „Praying Mantis“ oder „TG1021“ genannt haben – hauptsächlich Deserialisierungsangriffe verwendet, um eine vollständig volatile, benutzerdefinierte Malware-Plattform zu laden, die auf Windows zugeschnitten ist IIS-Umgebung.
„TG1021 verwendet ein maßgeschneidertes Malware-Framework, das um einen gemeinsamen Kern herum aufgebaut ist und maßgeschneidert für IIS-Server ist. Das Toolset ist vollständig flüchtig, wird reflektierend in den Speicher eines betroffenen Computers geladen und hinterlässt kaum bis keine Spuren auf infizierten Zielen“, the schrieben die Forscher.
“Der Bedrohungsakteur nutzte den über den IIS bereitgestellten Zugriff, um die zusätzlichen Aktivitäten durchzuführen, einschließlich der Erfassung von Anmeldeinformationen, Aufklärung und seitlicher Bewegung.”
Im letzten Jahr war das Incident-Response-Team des Unternehmens gezwungen, auf eine Reihe gezielter Cyber-Angriffe zu reagieren, die auf mehrere prominente Organisationen gerichtet waren, die Sygnia nicht genannt hatte.
“Praying Mantis” hat es geschafft, ihre Netzwerke zu kompromittieren durch die Ausnutzung von mit dem Internet verbundenen Servern, und der Bericht stellt fest, dass die beobachtete Aktivität darauf hindeutet, dass der Bedrohungsakteur mit der Windows IIS-Plattform bestens vertraut ist und mit 0-Day-Exploits ausgestattet ist.
„Die Kernkomponente, die auf mit dem Internet verbundene IIS-Server geladen wird, fängt jede vom Server empfangene HTTP-Anfrage ab und verarbeitet sie. TG1021 verwendet auch eine zusätzliche verdeckte Hintertür und mehrere Module nach der Ausbeutung, um Netzwerkaufklärung durchzuführen, Berechtigungen zu erhöhen und sich seitlich innerhalb von Netzwerken zu bewegen “, erklärte der Bericht.
„Die Art der Aktivität und der allgemeine Modus-Operandi lassen darauf schließen, dass TG1021 ein erfahrener, heimlicher Akteur ist, der sich der Betriebssicherheit sehr bewusst ist EDRs und durch das stille Warten auf eingehende Verbindungen, anstatt sich wieder mit einem C2-Kanal zu verbinden und kontinuierlich Verkehr zu generieren.”
Die Akteure hinter “Praying Mantis” waren in der Lage, alle auf der Festplatte residenten Tools zu entfernen, nachdem sie sie verwendet hatten, und gaben im Austausch für Stealth effektiv die Beharrlichkeit auf.
Die Forscher stellten fest, dass die Techniken der Akteure denen ähneln, die in einer Empfehlung des Australian Cyber Security Centre vom Juni 2020 erwähnt wurden, in der vor “Kompromissen durch Kopieren und Einfügen” gewarnt wurde.
In der australischen Bekanntmachung heißt es, die Angriffe seien von einem „ausgebildeten staatlich geförderten Akteur“ gestartet worden, der „das bedeutendste koordinierte Cyber-Targeting gegen australische Institutionen darstellte, das die australische Regierung jemals beobachtet hat“.
In einer anderen Mitteilung heißt es: Angriffe richteten sich speziell gegen australische Regierungsinstitutionen und Unternehmen.
„Der Akteur nutzte eine Vielzahl von Exploits, die auf Internet-acing-Server abzielen, um einen ersten Zugang zu Zielnetzwerken zu erhalten. Diese Exploits missbrauchen Deserialisierungsmechanismen und bekannte Schwachstellen in Webanwendungen und werden verwendet, um eine ausgeklügelte speicherresidente Malware auszuführen, die als Hintertür fungiert.“ sagte der Sygnia-Bericht.
“Der Bedrohungsakteur verwendet ein Arsenal von Webanwendungs-Exploits und ist ein Experte für deren Ausführung. Die Schnelligkeit und Vielseitigkeit der Operation in Kombination mit der Raffinesse der Aktivitäten nach der Ausbeutung deuten darauf hin, dass ein fortgeschrittener und hochqualifizierter Akteur die Operationen.”
Die Angreifer nutzen mehrere Schwachstellen aus, um Angriffe auszunutzen, einschließlich einer 0-Day-Schwachstelle, die mit einer unsicheren Implementierung des Deserialisierungsmechanismus in der Webanwendung „Checkbox Survey“ verbunden ist.
Sie nutzten auch IIS-Server und den Standard-VIEWSTATE Deserialisierungsprozess, um wieder Zugriff auf kompromittierte Maschinen zu erhalten, sowie
„Diese Technik wurde von TG1021 verwendet, um sich seitlich zwischen IIS-Servern innerhalb einer Umgebung zu bewegen. Ein erster IIS-Server wurde durch eine der oben aufgeführten Deserialisierungsschwachstellen kompromittiert .NET-Sitzungsstatus MSSQL-Server und führen Sie den Exploit aus”, heißt es in dem Bericht.
Es fügte hinzu, dass die Bedrohungsakteure auch Schwachstellen mit Telerik-Produkten ausnutzen, von denen einige eine schwache Verschlüsselung aufweisen.
Sygnia-Forscher schlugen vor, alle .NET-Deserialisierungsschwachstellen zu patchen, nach bekannten Anzeichen für eine Kompromittierung zu suchen, mit dem Internet verbundene IIS-Server mit einer Reihe von Yara-Regeln zu scannen und nach verdächtigen Aktivitäten in mit dem Internet verbundenen IIS-Umgebungen zu suchen.
Sicherheit
Kaseya Ransomware-Angriff: Was Sie wissen müssen Surfshark VPN Testbericht: Es ist billig, aber ist es gut? Die besten Browser für den Datenschutz Cybersicherheit 101: Schützen Sie Ihre Privatsphäre Die besten Antiviren-Software und -Apps Die besten VPNs für Unternehmen und Privat Die besten Sicherheitsschlüssel für 2FA Wie Opfer, die das Lösegeld zahlen, weitere Angriffe fördern (ZDNet YouTube)
Verwandte Themen :
Datenmanagement-Sicherheit TV CXO-Rechenzentren 