Microsoft cảnh báo: Hacker biến máy chủ Exchange thành máy chủ phát tán mã độc

Microsoft và Ukraine CERT đang cảnh báo về các cuộc tấn công mới của Turla, nhóm tin tặc do nhà nước Nga tài trợ, nhắm mục tiêu vào ngành công nghiệp quốc phòng và các máy chủ Microsoft Exchange bằng một backdoor mới có tên là 'DeliveryCheck'.

Turla, hay còn gọi là Secret Blizzard, KRYPTON và UAC-0003, được cho là một nhóm APT có liên kết với Cơ quan An ninh Liên bang Nga (FSB). Nhóm có liên quan đến một loạt các cuộc tấn công chống lại lợi ích của các quốc gia phương Tây trong những năm qua, bao gồm triển khai mạng lưới botnet phần mềm gián điệp Snake đã bị phá vỡ gần đây trong một hoạt động thực thi pháp luật quốc tế có tên là Chiến dịch MEDUSA.

Trong một báo cáo chung được CERT-UA và Microsoft công bố hôm qua, các nhà nghiên cứu đã tiết lộ chiến dịch tấn công mới trong đó các tác nhân đe dọa Turla đã nhắm vào khu vực phòng thủ ở Ukraine và Đông Âu.

Các cuộc tấn công bắt đầu bằng các email lừa đảo có đính kèm tệp Excel XLSM chứa macro độc hại. Khi được kích hoạt, các macro này sẽ thực thi lệnh PowerShell, tạo tác vụ theo lịch trình giả dạng chương trình cập nhật trình duyệt Firefox. Trên thực tế, tác vụ này sẽ tải xuống backdoor DeliveryCheck và khởi chạy nó trong bộ nhớ, sau đó kết nối với máy chủ điều khiển tấn công của tác nhân đe dọa để nhận lệnh thực thi hoặc triển khai các payload phần mềm độc hại khác. Các payload độc hại được lưu và khởi chạy từ các stylesheets XSLT.

Sau khi lây nhiễm, các tác nhân đe dọa sử dụng backdoor để lấy cắp dữ liệu từ các thiết bị bị xâm nhập bằng công cụ Rclone.

Điều đáng chú ý là DeliveryCheck lợi dụng một thành phần phía máy chủ Microsoft Exchange để biến nó trở thành máy chủ điều khiển tấn công cho các tác nhân đe dọa.

Microsoft cho biết thành phần này được cài đặt bằng Desired State Configuration (DSC), một mô-đun PowerShell cho phép quản trị viên tạo cấu hình máy chủ được chuẩn hóa và áp dụng nó cho các thiết bị. Tính năng này thường được sử dụng để tạo một mẫu cấu hình mặc định mà sau đó có thể được sử dụng để tự động thiết lập cấu hình cho nhiều thiết bị có cùng cài đặt.

Tin tặc lạm dụng DSC để tự động tải tệp thực thi Windows được mã hóa base64 để biến máy chủ Exchange hợp pháp thành máy chủ phát tán phần mềm độc hại.

Trong cuộc tấn công, Turla cũng đã cài cắm backdoor đánh cắp thông tin KAZUAR. Phần mềm độc hại này là một công cụ gián điệp mạng cho phép kẻ tấn công thực thi mã javascript trên thiết bị, đánh cắp dữ liệu nhật ký sự kiện, thông tin về các tệp hệ thống và đánh cắp token xác thực, cookie và thông tin đăng nhập từ nhiều chương trình khác nhau, bao gồm cả trình duyệt, máy khách FTP, phần mềm VPN, KeePass, Azure, AWS và Outlook.

Nhóm Microsoft Threat Intelligence cho biết: "Tác nhân đe dọa đặc biệt nhằm mục đích trích xuất các tệp chứa tin nhắn từ ứng dụng nhắn tin phổ biến Signal Desktop để xem nội dung các cuộc hội thoại cũng như tài liệu, hình ảnh và tệp lưu trữ trên các hệ thống bị nhắm mục tiêu".

CERT-UA cho biết họ đã chia sẻ các mẫu (sample) phần mềm độc hại mới với các công ty bảo mật để hỗ trợ việc phát hiện. Hiện đã có 14/70 nhà cung cấp trên VirusTotal phát hiện được mẫu DeliveryCheck đã chia sẻ là phần mềm độc hại.

Nguồn: bleepingcomputer.com.