微软交易所:Outlook 遭 APTs 围攻
一份新的威胁报告显示,APT在利用Microsoft服务(例如Exchange和OWA)时正在改变其策略,以避免被检测到。
新的,复杂的对手正在转变其策略,以利用企业友好型平台(最著名的是Microsoft Exchange,Outlook Web Access(OWA)和Web上的Outlook)来窃取业务凭据和其他敏感数据。
微软的Exchange邮件服务器和日历服务器以及Outlook个人信息管理器Web应用程序都提供身份验证服务以及与其他平台的集成,研究人员说,这是攻击者利用它们发起攻击的主要工具。
埃森哲周一发布的《 2020年网络威胁景观》报告阐明了参与者如何利用Exchange和OWA –并发展其策略以开发针对这些服务的新恶意软件系列,或使用新的逃避检测技术。
埃森哲(Accenture)研究人员周一表示:“面向网络、数据密集、通常对外通信的系统和服务,可以让对手更容易地将流量隐藏在背景噪音中,而认证服务则可能为网络罪犯提供获取证书的机会。”
APTs Flock Exchange, OWA
研究人员称“ BELUGASTURGEON”(又名Turla或Whitebear为攻击者,他们的目标是Exchange和OWA 。研究人员说,该组织在俄罗斯开展业务,已经活跃了10多年,并且与针对政府机构,外交政策研究公司和全球智囊团的众多网络攻击相关。
研究人员说,该组织的目标是这些Microsoft服务,并将它们用作抢滩,隐藏流量,中继命令,破坏电子邮件,泄露数据并收集凭据以用于将来的间谍攻击。例如,他们正在操纵遍历Exchange的合法流量,以中继命令或泄露敏感数据。
研究人员说:“支持Exchange和相关服务的主机经常将大量数据中继到外部位置,这是恶意行为者将其流量隐藏在这种背景噪声下的主要机会。”
研究人员说,另一个被研究人员称为SOURFACE(又名APT39或Chafer)的小组似乎已经开发出了类似的技术来隐藏恶意流量,操纵本地防火墙并使用本机命令,工具和功能通过非标准端口代理流量。研究人员表示,该组织至少自2014年以来就一直活跃,并以其对澳大利亚,欧洲,以色列,沙特阿拉伯,美国和其他地区的石油,天然气,通讯,运输和其他行业的网络攻击而闻名。
此外,威胁组织还创建了专门针对Exchange和OWA的新恶意软件。研究人员表示,他们在2019年发现了几处恶意文件,他们“有中等信心”地评估它们与一个名为BLACKSTURGEON的组织有关,该组织用于瞄准政府和公共部门组织。
其中包括一个文件,该文件似乎是该组织的“RULER”工具的自定义版本的版本,该文件旨在滥用Microsoft Exchange服务。研究人员说,此文件利用了CVE-2017-11774 Outlook漏洞,该漏洞是一种安全功能旁路漏洞,会影响Microsoft Outlook,并使攻击者能够执行任意命令。
其他服务受到攻击
网络犯罪分子还针对支持Exchange和OWA的服务。例如,客户端访问服务器(CAS)处理与Exchange Server 2010和Exchange 2013的所有客户端连接,通常在Web登录门户中运行包括OWA在内的服务。研究人员说,能够访问CAS的攻击者可能能够部署窃取用户登录凭据的功能。
他们说:“据报道,一个高级的持久威胁参与者已经部署了Web Shell,以便在他们登录时从OWA用户那里获取凭据。”
支持OWA的Windows Internet信息服务(IIS)平台是另一个不断增长的目标。IIS是Microsoft创建的用于Windows家族的Web服务器软件。研究人员说,他们已经观察到SOURFACE,例如,将自定义的Active Server Page Extended(ASPX)Web Shell部署到受害人的OWA环境中的IIS目录中。这些Web Shell将包含离散的文件名,以类似于受害者系统上的合法文件(例如,“ login2.aspx”而不是“ login.aspx”)。而且,为了逃避静态检测,它们通常包含有限的功能,通常仅文件上传和下载或命令执行。
随着入侵的进行,SOURFACE运营商改变了他们的方法。攻击者没有将其他Web外壳程序代码附加到IIS中的合法文件上,而是放置了其他文件来完成恶意功能,”研究人员说。“很可能他们这样做是为了减少网络防御者的识别并确保持久访问,即使识别和删除了其他Web Shell文件也是如此。”
研究人员说,向前迈进,攻击者将继续以自然挑战网络防御者的方式,创新其攻击Microsoft服务(如Exchange)的技术。Check Point研究人员称,除恶意软件外,在模拟黑客方面,微软是首屈一指的。在今年第三季度,全球所有品牌网络钓鱼攻击中,微软的产品和服务占了近五分之一。
埃森哲表示:“在大多数情况下,与国家结盟的运营商可能需要继续强调隐身性和持久性,以实现其情报收集目标。” “这种功能和逃避检测方法强调了识别和跟踪优先对手的重要性,然后针对优先对手采取的特定行为进行威胁搜寻。”
