Ein neuer Gefahrenbericht zeigt, dass fortgeschrittene anhaltende Bedrohungen bei der Ausnutzung von Microsoft-Diensten wie Exchange und OWA die Taktik ändern, um einer Entdeckung zu entgehen.
Neue, raffinierte Angreifer ändern ihre Taktik bei der Ausnutzung unternehmensfreundlicher Plattformen – vor allem Microsoft Exchange, Outlook Web Access (OWA) und Outlook im Internet -, um geschäftliche Zugangsdaten und andere sensible Daten zu stehlen.
Sowohl der Exchange-Mailserver und Kalender-Server von Microsoft als auch die Webanwendung Outlook Personal Information Manager von Microsoft bieten Authentifizierungsdienste – und die Integration mit anderen Plattformen -, die laut Forschern für Angreifer der beste Hebel sind, um Angriffe zu starten.
Der am Montag veröffentlichte Bericht 2020 Cyber Threatscape von Accenture beleuchtet, wie die Akteure Exchange und OWA nutzen – und ihre Taktiken weiterentwickeln, um neue Malware-Familien zu entwickeln, die auf diese Dienste abzielen oder neue Techniken zur Umgehung der Erkennung einsetzen.
“Web-orientierte, datenintensive Systeme und Dienste, die typischerweise nach außen kommunizieren, können es Gegnern leichter machen, ihren Datenverkehr im Hintergrund zu verbergen, während Authentifizierungsdienste Cyberkriminellen eine Möglichkeit zum Sammeln von Berechtigungsnachweisen eröffnen könnten”, so die Forscher von Accenture am Montag.
Fortgeschrittene anhaltende Bedrohung für Exchange, OWA
Eine Gruppe der Advanced Persistent Threat (APT), die Exchange und OWA ins Visier genommen hat, wird von den Forschern als “BELUGASTURGEON” (alias Turla oder Weißbär) bezeichnet. Forscher sagen, dass diese Gruppe von Russland aus operiert, seit mehr als 10 Jahren aktiv ist und mit zahlreichen Cyberangriffen in Verbindung gebracht wird, die sich gegen Regierungsbehörden, außenpolitische Forschungsunternehmen und Think Tanks auf der ganzen Welt richten.
Die Gruppe zielt auf diese Microsoft-Dienste ab und nutzt sie als Ausgangspunkt, um den Datenverkehr zu verbergen, Befehle weiterzuleiten, E-Mails zu kompromittieren, Daten zu unterwandern und Zugangsdaten für künftige Spionageangriffe zu sammeln, so die Forscher. So manipulieren sie zum Beispiel den zulässigen Datenverkehr, der Exchange durchläuft, um Befehle weiterzuleiten oder sensible Daten zu exfiltrieren.
“Hosts, die Exchange und damit verbundene Dienste unterstützen, leiten häufig große Datenmengen an externe Standorte weiter – eine hervorragende Gelegenheit für böswillige Akteure, ihren Verkehr in diesem Rauschen zu verstecken”, so die Forscher.
Eine andere Gruppe, die von den Forschern SOURFACE (auch bekannt als APT39 oder Chafer) genannt wird, scheint ähnliche Techniken entwickelt zu haben, um böswilligen Datenverkehr zu verbergen, lokale Firewalls zu manipulieren und den Datenverkehr über nicht standardisierte Ports mit Hilfe von systemeigenen Befehlen, Tools und Funktionen zu autorisieren, sagten die Forscher. Die Forscher sagten, diese Gruppe sei mindestens seit 2014 aktiv und bekannt für ihre Cyberangriffe auf die Öl- und Gas-, Kommunikations-, Transport- und andere Industrien in Australien, Europa, Israel, Saudi-Arabien, den USA und anderen Regionen.
Darüber hinaus entwickeln Gruppierungen von Angreifern auch neue Malware, die speziell auf Exchange und OWA abzielt. Forscher sagten, sie hätten 2019 mehrere bösartige Dateien in freier Wildbahn entdeckt, die nach ihrer Einschätzung “mit mäßiger Zuversicht” zu einer Gruppe namens BLACKSTURGEON gehörten, die sich gegen staatliche und öffentliche Einrichtungen richtet.
Dazu gehört auch eine Datei, die wie eine Version der von der Gruppe angepassten Version des “RULER“-Tools aussah, das auf den Missbrauch von Microsoft Exchange-Diensten abzielt. Diese Datei nutzt die CVE- 2017-11774 Outlook-Schwachstelle aus, eine Schwachstelle zur Umgehung von Sicherheitsmerkmalen, die Microsoft Outlook betrifft und es Angreifern ermöglicht, beliebige Befehle auszuführen, so die Forscher.
Andere angegriffene Dienste
Cyberkriminelle haben auch Dienste im Visier, die Exchange und OWA unterstützen. So arbeiten beispielsweise Client-Access-Server (CAS), die alle Client-Verbindungen zu Exchange Server 2010 und Exchange 2013 abwickeln, in der Regel in Web-Login-Portalen für Dienste wie OWA. Angreifer mit Zugriff auf CAS können möglicherweise Fähigkeiten einsetzen, um Benutzeranmeldeinformationen zu stehlen, so die Forscher.
“Bemerkenswert ist, dass ein fortgeschrittener Angreifer für hartnäckige Bedrohungen Berichten zufolge Web-Shells eingesetzt hat, um Anmeldedaten von OWA-Benutzern zu stehlen, während diese sich einloggten”, sagten sie.
Die Windows Internet Information Services (IIS)-Plattform, die OWA unterstützt, ist ein weiteres zunehmendes Ziel. IIS ist eine Webserver-Software, die von Microsoft für den Einsatz mit der Windows-Familie entwickelt wurde. Forscher sagten, sie hätten beobachtet, wie SOURFACE beispielsweise benutzerdefinierte Active Server Page Extended (ASPX) Web Shells für IIS-Verzeichnisse innerhalb der OWA-Umgebung des Opfers einsetzt. Diese Web-Shells würden diskrete Dateinamen enthalten, die den legitimen Dateien auf dem System des Opfers ähneln (zum Beispiel “login2.aspx” statt “login.aspx”). Und um einer statischen Erkennung zu entgehen, enthielten sie in der Regel eine begrenzte Funktionalität, oft nur das Hoch- und Herunterladen von Dateien oder die Ausführung von Befehlen.
“Die SOURFACE-Operatoren änderten ihren Ansatz mit fortschreitendem Verlauf des Eindringens. Anstatt zusätzliche Dateien zu platzieren, um bösartige Funktionalität zu erreichen, fügte der Angreifer Web-Shell-Code an zulässige Dateien innerhalb des IIS an”, so die Forscher. “Es ist wahrscheinlich, dass sie dies taten, um die Identifizierung durch die Netzwerkverteidiger zu reduzieren und einen dauerhaften Zugriff zu gewährleisten, auch wenn andere Web-Shell-Dateien identifiziert und entfernt wurden.
Die Forscher sagten, dass die Angreifer auch in Zukunft ihre Techniken beim Angriff auf Microsoft-Dienste wie Exchange auf eine Weise weiterentwickeln werden, die die Netzwerkbetreuer auf natürliche Weise herausfordern wird. Abgesehen von Malware steht Microsoft an der Spitze, wenn es um die Nachahmung von Hackern geht – laut Check-Point-Forschern waren Microsoft-Produkte und -Dienste im dritten Quartal dieses Jahres bei fast einem Fünftel aller weltweiten Phishing-Angriffe auf Markenprodukte beteiligt.
“Staatlich orientierte Angreifer könnten – in den meisten Fällen – weiterhin auf Verstohlenheit und Beharrlichkeit setzen müssen, um ihre Ziele beim Sammeln von Informationen zu erreichen”, so Accenture. “Solche Fähigkeiten und Entdeckungsumgehungsansätze unterstreichen die Bedeutung der Identifizierung und Verfolgung von vorrangigen Kontrahenten und der anschließenden Bedrohungsjagd gegen die spezifischen Verhaltensweisen, die von den bevorzugten Gegnern angewandt werden”, so Accenture.