В начале августа 2022 года в ходе мониторинга безопасности и реагирования на инциденты команда GTSC SOC обнаружила, что инфраструктура организации подверглась атаке, в частности, приложение Microsoft Exchange. В ходе расследования эксперты GTSC Blue Team определили, что атака использовала неопубликованную уязвимость безопасности Exchange, т.е. уязвимость 0-дня.
- Предоставляя SOC-сервис клиенту, GTSC Blueteam обнаружила в журналах IIS эксплойт-запросы с тем же форматом, что и уязвимость ProxyShell: autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com. Также проверив другие журналы, GTSC увидели, что атакующий может выполнять команды на атакуемой системе. Номер версии этих серверов Exchange показал, что последнее обновление уже установлено, поэтому эксплуатация с использованием уязвимости Proxyshell была невозможна -> аналитики Blueteam могут подтвердить, что это новая 0-day RCE уязвимость.
- Команда GTSC Redteam успешно выяснила, как использовать указанный выше путь для доступа к компоненту в бэкенде Exchange и выполнения RCE.
- Однако на данный момент GTSC SOC не хотели раскрывать технические подробности уязвимости.
Indicators of Compromise
IPv4
- 103.9.76.208
- 103.9.76.211
- 104.244.79.6
- 112.118.48.186
- 122.155.174.188
- 125.212.220.48
- 125.212.241.134
- 137.184.67.33
- 185.220.101.182
- 194.150.167.88
- 206.188.196.77
- 212.119.34.11
- 47.242.39.92
- 5.180.61.17
- 61.244.94.85
- 86.48.12.64
- 86.48.6.69
- 94.140.8.113
- 94.140.8.48
IPv4 Port Combinations
- 206.188.196.77:8080
URLs
- http://206.188.196.77:8080/themes.aspx
SHA256
- 074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82
- 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3
- 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9
- 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5
- 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e
- 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0
- b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca
- be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
- c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
- c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2