Новая атакующая кампания использовала новую 0-дневную уязвимость RCE в Microsoft Exchange Server

security IOC

В начале августа 2022 года в ходе мониторинга безопасности и реагирования на инциденты команда GTSC SOC обнаружила, что инфраструктура организации подверглась атаке, в частности, приложение Microsoft Exchange. В ходе расследования эксперты GTSC Blue Team определили, что атака использовала неопубликованную уязвимость безопасности Exchange, т.е. уязвимость 0-дня.

  • Предоставляя SOC-сервис клиенту, GTSC Blueteam обнаружила в журналах IIS эксплойт-запросы с тем же форматом, что и уязвимость ProxyShell: autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com. Также проверив другие журналы, GTSC увидели, что атакующий может выполнять команды на атакуемой системе. Номер версии этих серверов Exchange показал, что последнее обновление уже установлено, поэтому эксплуатация с использованием уязвимости Proxyshell была невозможна -> аналитики Blueteam могут подтвердить, что это новая 0-day RCE уязвимость.
  • Команда GTSC Redteam успешно выяснила, как использовать указанный выше путь для доступа к компоненту в бэкенде Exchange и выполнения RCE.
  • Однако на данный момент GTSC SOC не хотели раскрывать технические подробности уязвимости.

Indicators of Compromise

IPv4

  • 103.9.76.208
  • 103.9.76.211
  • 104.244.79.6
  • 112.118.48.186
  • 122.155.174.188
  • 125.212.220.48
  • 125.212.241.134
  • 137.184.67.33
  • 185.220.101.182
  • 194.150.167.88
  • 206.188.196.77
  • 212.119.34.11
  • 47.242.39.92
  • 5.180.61.17
  • 61.244.94.85
  • 86.48.12.64
  • 86.48.6.69
  • 94.140.8.113
  • 94.140.8.48

IPv4 Port Combinations

  • 206.188.196.77:8080

URLs

  • http://206.188.196.77:8080/themes.aspx

SHA256

  • 074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82
  • 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3
  • 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9
  • 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5
  • 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e
  • 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0
  • b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca
  • be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
  • c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
  • c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

 

SEC-1275-1
Добавить комментарий