El incidente salió a la luz en un informe del gobierno de EE.UU. que informó que los hackers utilizaron un malware CovalentStealer personalizado y un conjunto de clases de Python llamado Impacket para robar datos confidenciales de una empresa del complejo industrial de defensa de EE.UU.
El informe conjunto de CISA, FBI y NSA proporcionó detalles técnicos del ataque cibernético recopilados durante las secuelas del mismo. El arsenal del atacante se desglosa así:
- Malware personalizado CovalentStealer.
- Impacket; un conjunto de clases de Python de código abierto.
- Rata HyperBro.
-Más de una docena de muestras de caparazón web de ChinaChopper.
Cuatro vulnerabilidades en Exchange Server
Lista de vulnerabilidades explotadas:
- CVE-2021-26855: permite la falsificación de solicitudes del lado del servidor (SSRF), lo que hace que un atacante no autenticado envíe solicitudes HTTP.
- CVE-2021-26857 es una vulnerabilidad en el servicio de mensajería de Exchange. Permite el uso de código arbitrario en el sistema de la víctima.
- CVE-2021-26858: disponible después de la autenticación. Un atacante podría usar esta vulnerabilidad para escribir archivos arbitrarios en el servidor.
- CVE-2021-27065: funciona junto con CVE-2021-26855 y permite el acceso a la interfaz EAC/EPC (Centro de administración de Exchange).
Si bien se desconoce el vector de acceso inicial, el informe establece que los hackers informáticos obtuvieron acceso al servidor Exchange de la organización a mediados de enero de 2021.
Durante cuatro horas, los atacantes buscaron en los buzones y utilizaron una cuenta de administrador comprometida que pertenecía a un ex empleado para acceder a la API de Exchange Web Services (EWS).
Menos de un mes después, a principios de febrero de 2021, los atacantes volvieron a obtener acceso a la red a través de VPN utilizando la misma cuenta. Cuatro días después, los hackers informáticos realizaron un reconocimiento utilizando un shell de comando.
Aprendieron sobre el entorno de la víctima y archivaron manualmente (WinRAR) datos confidenciales almacenados en unidades compartidas, preparándolos para la exfiltración.
Los archivos se dividieron en fragmentos de aproximadamente 3 MB y se ubicaron en el servidor de Microsoft Exchange en el directorio CU2\he\debug. A principios de marzo, los hackers informáticos utilizaron lo anterior para instalar al menos 17 shells web de ChinaChopper en un servidor de Exchange.
Habiendo completado los preparativos, en abril de 2021, los atacantes comenzaron a afianzarse en el sistema y lentamente se adentraron más. También, los ciberdelincuentes utilizaron Impacket con credenciales comprometidas y obtuvieron acceso remoto desde múltiples direcciones IP externas al servidor Exchange de la organización a través de Outlook Web Access (OWA).
Una vez en lo profundo de la red de la víctima, los hackers descargaron todos los datos recopilados utilizando CovalentStealer. Esta etapa del ataque se desarrolló desde finales de julio hasta mediados de octubre de 2022.
Los especialistas de CISA ya han publicado un análisis técnico de CovalentStealer. Lograron descubrir que el malware usa el código de dos utilidades disponibles públicamente: ClientUploader y el script Export–MFTPowerShell necesario para cargar archivos comprimidos y extraer la tabla maestra de archivos (MFT) del volumen local.
