Regulador bancario chileno comparte CIOs tras hack de Microsoft Exchange

Microsoft Exchange

La Comisión para el Mercado Financiero (CMF) de Chile ha revelado que su servidor Microsoft Exchange se ha visto comprometido debido a las vulnerabilidades de ProxyLogon reveladas recientemente.

El CMF opera bajo el Ministerio de Finanzas y es el regulador e inspector de bancos e instituciones financieras en Chile.

Esta semana, CMF reveló que sufrió un ciberataque después de que las amenazas explotaran las vulnerabilidades de ProxyLogon recientemente reveladas en sus servidores de Microsoft Exchange para instalar shells web e intentar robar credenciales.

"La Comisión del Mercado Financiero (CMF) actualiza la información sobre el incidente operativo reportado ayer causado por vulnerabilidades en la plataforma de correo electrónico de Microsoft Exchange".

“Los análisis realizados por el área de seguridad y tecnología de TI del CMF, junto con el soporte externo especializado, hasta el momento han descartado la presencia de un ransomware e indican que el incidente se limitaría a la plataforma Microsoft Exchange”, reveló la Comisión para el Mercado Financiero.

CMF también afirma que están investigando la violación y han estado en contacto con el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) del Ministerio de Finanzas.

CMF comparte el CIO de su ataque

Para ayudar a los profesionales de la seguridad y otros administradores de Microsoft Exchange, CMF lanzó IOC de shell web y un archivo por lotes que se encuentra en su servidor comprometido.

  • 0b15c14d0f7c3986744e83c208429a78769587b5: error_page.aspx (shell web de China Chopper)
  • bcb42014b8dd9d9068f23c573887bf1d5c2fc00e: supp0rt.aspx (shell web de China Chopper)
  • 0aa3cda37ab80bbe30fa73a803c984b334d73894: test.bat (archivo por lotes para volcar lsass.exe)

Si bien los indicadores de compromiso (IOC) tendrán diferentes hashes de archivos para cada víctima, en muchos ataques los nombres de los archivos han sido los mismos.

Los shells web que usan los nombres "error_page.asp" y "supp0rt.aspx" se han utilizado en numerosos ataques ProxyLogon y, en su mayor parte, son idénticos con solo unas pocas modificaciones específicas de la víctima.

Estos archivos son libretas de direcciones sin conexión (OAB) de Microsoft Exchange, cuya configuración de ExternalUrl se ha cambiado a China Cáscara de la tela del interruptor. Este shell web permite a los autores de amenazas ejecutar comandos en el servidor Microsoft Exchange comprometido de forma remota visitando la URL configurada en la configuración de ExternalURL.

Libretas de direcciones sin conexión (OAB) de Microsoft Exchange con shell web
Libretas de direcciones sin conexión (OAB) de Microsoft Exchange con shell web

El archivo por lotes, test.bat, también se ve comúnmente en los ataques ProxyLogon y se usa para volcar la memoria del proceso LSASS para recopilar las credenciales de dominio de Windows. El archivo por lotes también exporta una lista de usuarios en el dominio de Windows.

El comando que se muestra a continuación usará comsvcs.dll LOLBin para volcar la memoria LSASS a un archivo en el servidor IIS wwwroot. Luego usa dsquery para exportar una lista de usuarios en el dominio de Windows a un archivo.

Estos archivos luego se comprimen en wwwroot para que los creadores de amenazas los descarguen de forma remota.

Descargar la memoria del proceso LSASS
Descargar la memoria del proceso LSASS

Si bien la mayoría de los ataques de Microsoft Exchange han implementado shells web, recopilación de credenciales y robo de buzones de correo, algunos ataques también instalan criptomineros y, más recientemente, ransomware DearCry en servidores explotados.

Para ayudar a los administradores a encontrar los archivos maliciosos liberados en estos ataques, Microsoft ha lanzado un script que busca IOC en los registros de Microsoft Exchange y ha actualizado su Microsoft Safety Scanner (MSERT) para detectar shells web conocidos.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings