Robo de datos en la red empresarial de un contratista militar estadounidense
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), el FBI y la NSA han publicado un informe conjunto en el que describen una intrusión en la red de un contratista militar estadounidense que robó datos sensibles.
Aún se desconoce cómo los piratas informáticos entraron en el servidor Microsoft Exchange de la organización de defensa. Según la advertencia, los autores de la amenaza pasaron horas buscando en los buzones de correo y utilizando una cuenta de administrador comprometida para consultar Exchange a través de su API EWS.
Otras actividades maliciosas llevadas a cabo por los hackers en la red del contratista militar incluyen la ejecución de comandos de Windows para obtener más información sobre la configuración de TI y la recopilación de otros archivos en archivos comprimidos mediante WinRAR, así como el uso del conjunto de herramientas de red de código abierto Impacket para controlar y mover máquinas de forma remota por la red.
A continuación, los atacantes utilizaron una herramienta de filtración de datos personalizada llamada CovalentStealer para desviar datos confidenciales, incluida información relacionada con contratos de unidades compartidas.
Las actividades de los atacantes solo se descubrieron cuando alguien se dio cuenta de que algo iba mal. Durante la investigación llevada a cabo por CISA y una empresa de seguridad de "terceros de confianza", los funcionarios investigaron la actividad maliciosa de la red y descubrieron que algunos equipos anónimos habían obtenido acceso inicial al servidor Exchange de la organización a mediados de enero de 2021.
Los hallazgos de los investigadores mostraron que los atacantes explotaron varios errores de Microsoft en 2021, incluyendo CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, para instalar 17 webshells de China Chopper en el servidor Exchange.
En algunas de sus actividades de amenaza observadas, los atacantes utilizan Impacket, que puede emplearse con fines legítimos y maliciosos. Según Katie Nickels, Jefa de Inteligencia de Red Canary, los atacantes Impacket's wmiexec.py y smbexec.py Python scripts tan pronto como están en la red para controlar remotamente las máquinas en las redes de las víctimas.
"Los agresores prefieren Impacket porque les permite llevar a cabo diversas acciones, como recuperar credenciales, emitir comandos, desplazarse lateralmente y distribuir malware adicional en los sistemas", explica Nickels.
Las fuentes de este artículo incluyen un artículo en TheRegister.