Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Чилийский финансовый регулятор опубликовал IOC для уязвимостей ProxyLogon (http://txgate.io:443/showthread.php?t=15232)

Artifact 04-08-2025 01:23 AM

Комиссия по финансовому рынку Чили пополнила многочисленный список жертв атак на серверы Microsoft Exchange.
https://www.securitylab.ru/upload/ib...7c757e9eac.jpg
Комиссия по финансовому рынку Чили (Comisión para el Mercado Financiero, CMF) сообщила, что ее серверы были скомпрометированы через уязвимости в Microsoft Exchange, известные как ProxyLogon.
CMF подчиняется Министерству финансов Чили и является органом, регулирующим и инспектирующим банки и другие финансовые учреждения в стране. Как сообщила комиссия на этой неделе, злоумышленники проэксплуатировали уязвимости и установили web-оболочки в попытке похитить учетные данные.
В ходе анализа инцидента, проведенного специалистами CMF и сторонними ИБ-экспертами, следов присутствия в сетях комиссии вымогательского ПО обнаружено не было. Как установили специалисты, инцидент ограничен только платформой Microsoft Exchange. В настоящее время расследование продолжается.
Чтобы помочь специалистам в области безопасности и другим администраторам Microsoft Exchange, CMF опубликовала индикаторы компрометации (IOC) web-оболочек и пакетного файла, обнаруженных на скомпрометированном сервере:
<ul><li>0b15c14d0f7c3986744e83c208429a78769587b5 : error_page.aspx (web-оболочка China Chopper);</li>
</ul><ul><li>bcb42014b8dd9d9068f23c573887bf1d5c2fc00 e: supp0rt.aspx (web-оболочка China Chopper);</li>
</ul><ul><li>0aa3cda37ab80bbe30fa73a803c984b334d7389 4: test.bat (пакетный файл для выгрузки lsass.exe).</li>
</ul>
Хотя IOC могут иметь разные хеши файлов для каждой жертвы, имена файлов те же самые. Web-оболочки с именами error_page.asp и supp0rt.aspx использовались во многих атаках ProxyLogon и по большей части являются идентичными, только с некоторыми изменениями в зависимости от жертвы.
Эти файлы представляют собой автономные адресные книги Microsoft Exchange (OAB), для которых параметр ExternalUrl изменен на web-оболочку China Chopper. Эта web-оболочка позволяет злоумышленникам удаленно выполнять команды на взломанном сервере Microsoft Exchange путем перехода по заданному в параметре ExternalURL URL-адресу.
Пакетный файл test.bat часто встречается в атаках ProxyLogon и используется для извлечения данных из памяти процесса LSASS с целью похищения учетных данных для домена Windows. Пакетный файл также экспортирует список пользователей домена Windows.
Хотя в большинстве атак на Microsoft Exchange на серверы устанавливаются web-оболочки, похищаются учетные данные и содержимое электронной почты, в некоторых случаях злоумышленники развертывают криптомайнеры, а с недавних пор еще и вымогательское ПО DearCry.


All times are GMT. The time now is 03:07 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.