Unternehmensnetzwerk eines US-Militärunternehmers kompromittiert, Daten gestohlen
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA), das FBI und die NSA haben einen gemeinsamen Bericht veröffentlicht, in dem das Eindringen in das Netzwerk eines US-Militärauftragnehmers beschrieben wird, bei dem sensible Daten gestohlen wurden.
Es ist noch nicht bekannt, wie die Hacker in den Microsoft Exchange Server der Verteidigungsorganisation eingedrungen sind. Die Warnung besagt, dass die Bedrohungsakteure Stunden damit verbrachten, Postfächer zu durchsuchen und ein kompromittiertes Administratorkonto zu verwenden, um Exchange über dessen EWS-API abzufragen.
Zu den weiteren böswilligen Aktivitäten der Hacker im Netzwerk des militärischen Auftragnehmers gehören die Ausführung von Windows-Befehlen, um mehr über die IT-Einrichtung zu erfahren, das Sammeln anderer Dateien in Archiven mit WinRAR sowie die Verwendung des Open-Source-Netzwerk-Toolkits Impacket zur Fernsteuerung und Verschiebung von Rechnern im Netzwerk.
Die Angreifer verwendeten dann ein benutzerdefiniertes Datenexfiltrationstool namens CovalentStealer, um sensible Daten, einschließlich vertragsbezogener Informationen, von freigegebenen Laufwerken abzuschöpfen.
Die Aktivitäten der Angreifer wurden erst entdeckt, als jemand bemerkte, dass etwas nicht stimmte. Während der von der CISA und einer "vertrauenswürdigen Drittpartei" durchgeführten Untersuchung untersuchten die Beamten die böswilligen Netzwerkaktivitäten und entdeckten, dass einige ungenannte Personen bereits Mitte Januar 2021 einen ersten Zugriff auf den Exchange Server der Organisation erhielten.
Die Ergebnisse der Forscher zeigten, dass die Angreifer mehrere Microsoft-Fehler im Jahr 2021 ausnutzten, darunter CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065, um 17 China Chopper-Webshells auf dem Exchange Server zu installieren.
Bei einigen der beobachteten Bedrohungsaktivitäten verwenden die Angreifer Impacket, das für legitime und bösartige Zwecke eingesetzt werden kann. Laut Katie Nickels, Head of Intelligence bei Red Canary, nutzen die Angreifer die Python-Skripte wmiexec.py und smbexec.py von Impacket, sobald sie im Netzwerk sind, um Rechner in den Netzwerken der Opfer fernzusteuern.
"Angreifer bevorzugen Impacket, weil es ihnen ermöglicht, verschiedene Aktionen durchzuführen, wie z. B. Anmeldeinformationen abzurufen, Befehle zu erteilen, sich seitlich zu bewegen und zusätzliche Malware in Systeme einzuschleusen", so Nickels.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheRegister.