Εκμεταλλευόμενοι μια νέα αλυσίδα exploit, η ομάδα Play ransomware κατάφερε να παρακάμψει τις προφυλάξεις επαναγραφής URL του ProxyNotShell και να πραγματοποιήσουν απομακρυσμένη εκτέλεση κώδικα (RCE) σε ευάλωτους διακομιστές μέσω του Outlook Web Access (OWA).
Δείτε επίσης: H-Hotels: Το Play ransomware υπεύθυνο για την κυβερνοεπίθεση
Κατά την έρευνα επιθέσεων από το λογισμικό Play ransomware, η ομάδα κυβερνοασφάλειας της CrowdStrike ανακάλυψε ένα νέο exploit (με την ονομασία OWASSRF) που χρησιμοποιήθηκε για να παραβιάσει τους διακομιστές Microsoft Exchange και να αποκτήσει πρόσβαση στα δίκτυα των θυμάτων.
Οι χειριστές του ransomware χρησιμοποίησαν το Remote PowerShell για να κάνουν κατάχρηση της ευπάθειας CVE-2022-41082, η οποία γίνεται επίσης κατάχρηση από το ProxyNotShell, προκειμένου να εκτελέσουν κακόβουλες εντολές σε παραβιασμένους διακομιστές.
Αφού ανέλυσε σχολαστικά τα σχετικά αρχεία καταγραφής, η CrowdStrike διαπίστωσε ότι δεν υπήρξε χειραγώγηση του CVE-2022-41040 ως αρχικό σημείο πρόσβασης. Παραδόξως, τα αιτήματα για το Exchange υποβλήθηκαν απευθείας μέσω του τελικού σημείου Outlook Web Application (OWA) – μια μέθοδος εκμετάλλευσης που δεν έχει παρατηρηθεί στο παρελθόν.
Το ProxyNotShell χρησιμοποιεί κακόβουλα το CVE-2022-41040, αλλά η CrowdStrike διαπίστωσε ότι το ελάττωμα που εκμεταλλεύεται αυτό το νέο exploit είναι πιθανότατα το CVE-2022-41080. Η Microsoft την έχει χαρακτηρίσει ως κρίσιμη ευπάθεια και την έχει ταξινομήσει ως μη εκμεταλλεύσιμη δημόσια – η οποία επιτρέπει την απομακρυσμένη κλιμάκωση προνομίων σε διακομιστές Exchange.
Δείτε ακόμα: Play ransomware: Πήρε την ευθύνη για την επίθεση στην Αμβέρσα
Ένας ερευνητής που βρήκε το σφάλμα αποκάλυψε πρόσφατα ότι μπορεί να χρησιμοποιηθεί για την εκμετάλλευση μιας “αλυσίδας RCE Exchange On-Premises, Exchange Online, Skype for Business Server. Αυτή η δυνητικά επικίνδυνη κατάσταση θα μπορούσε να οδηγήσει σε καταστροφικές συνέπειες και χρειάζεται άμεση προσοχή.”
Προς το παρόν, δεν είναι βέβαιο αν οι κακόβουλοι φορείς χρησιμοποιούσαν αυτή την αλυσίδα επίθεσης στο Microsoft Exchange ως εκμετάλλευση zero-day πριν διατεθούν τα διορθωτικά στοιχεία ασφαλείας.
Στις 14 Δεκεμβρίου, ενώ οι ερευνητές ασφαλείας της CrowdStrike εργάζονταν για τη δημιουργία του δικού τους proof-of-concept κώδικα που ταίριαζε με τα δεδομένα καταγραφής που ανακαλύφθηκαν κατά τη διάρκεια ερευνών για τις πρόσφατες επιθέσεις του Play ransomware, ο Dray Agha – ερευνητής απειλών της Huntress Labs – κατάφερε να εντοπίσει και να δημοσιεύσει τα εργαλεία ενός επιτιθέμενου στο διαδίκτυο.
Το εργαλείο περιλάμβανε ένα proof-of-concept για το exploit Exchange του Play, το οποίο επέτρεψε στην CrowdStrike να ταιριάξει την κακόβουλη συμπεριφορά που ανιχνεύθηκε στις επιθέσεις του Play ransomware.
Από τα μέσα Ιουλίου 2022, το PLAY Ransomware (γνωστό και ως PlayCrypt) είναι μια διάχυτη δύναμη στο ψηφιακό τοπίο. Μέχρι σήμερα, πέντε διαφορετικά σημειώματα λύτρων του PLAY Ransomware έχουν κατατεθεί στο VirusTotal. Μια ημέρα στα μέσα Αυγούστου του 2022, το πρώτο αναφερόμενο περιστατικό του PLAY Ransomware αποκαλύφθηκε όταν ένας δημοσιογράφος αποκάλυψε ότι το δικαστικό σώμα της Córdoba στην Αργεντινή είχε πέσει θύμα αυτής της κακόβουλης επίθεσης.
Δείτε επίσης: Το Play ransomware ακολουθεί τις τακτικές των Hive και Nokoyawa
Οι φορείς εκμετάλλευσης είναι γνωστό ότι χρησιμοποιούν γνωστές τακτικές BGH, όπως η χρήση του SystemBC RAT για επιμονή και η αξιοποίηση του Cobalt Strike για ελιγμούς μετά την παραβίαση. Εκτός του ότι είναι σε θέση να χρησιμοποιούν προσαρμοσμένα σενάρια PowerShell και AdFind, μπορούν επίσης να χρησιμοποιούν το WinPEAS για κλιμάκωση προνομίων και το RDP ή το SMB για πλευρική μετακίνηση όταν λειτουργούν εντός των ορίων ενός δικτύου-στόχου.
