Nel dicembre 2022, l’Incident Response Team di Telsy è stato chiamato a gestire un incidente di sicurezza informatica. L’analisi condotta ha rilevato l’esecuzione di un codice PowerShell che sfrutta una vulnerabilità in Microsoft Exchange.

Ulteriori indagini hanno allineato questi attacchi a ciò che CrowdStrike sta segnalando come “OWASSRF“, un concatenamento di CVE-2022-41080 e CVE-2022-41082 per aggirare le mitigazioni di riscrittura degli URL fornite da Microsoft per ProxyNotShell consentendo l’esecuzione del codice in modalità remota (RCE) tramite Outlook Web Access (OWA).

Dopo aver sfruttato queste vulnerabilità, nelle quali l’attaccante ha utilizzato una backdoor basata su PowerShell per eseguire comandi sul server Exchange, il threat actor ha creato un account amministratore locale e ha utilizzato living-off-the-land binaries (LOLBins) come parte dei suoi attacchi. Ad esempio, ha utilizzato Task Manager per eseguire il dump dei processi LSASS (Local Security Authority Server Service).

Durante la fase di discovery, l’attore raccoglie maggiori dettagli sull’ambiente AD. Abbiamo osservato che le query AD e l’attività di scansione per i sistemi remoti venivano eseguite da diversi strumenti, come Microsoft Nltest, SharpHound e GRB_NET.

Dopo questa fase, sono state rilevate attività di lateral movement con l’utilizzo di PsExec e la creazione di un’attività di Windows per garantire la persistenza attraverso l’esecuzione del malware SystemBC. SystemBC è un malware proxy che è stato utilizzato in vari attacchi ransomware.

In effetti, l’analisi ha rivelato che l’attore ha utilizzato elementi dell’infrastruttura di rete e strumenti già osservati in passati attacchi ransomware condotti da gruppi come BlackBasta, Hive e Play.

A questo link il Report completo