Hacker trasformano server Exchange in centri di comando per malware

Turla, gang di hacker russi, ha preso di mira i Server Exchange con un nuovo malware: ecco cosa sta succedendo.
Marco Ponteprino
Pubblicato il 21 lug 2023
Hacker trasformano server Exchange in centri di comando per malware
pixabay.com

Il gruppo APT noto come Turla (ma anche con nomi come Secret Blizzard, KRYPTON e UAC-0003) sono hacker riconducibili alla Russia, è famoso per alcune sua attività alquanto sofisticate.

Di recente, questa gang è salita agli onori della cronaca per essere stata coinvolta nell’interruzione della botnet di spionaggio informatico Snake, attraverso l’operazione MEDUSA e altri attacchi simili.

Secondo una recente ricerca di Microsoft Threat Intelligence e il CERT-UA ucraino, Turla ha preso di mira i server Microsoft Exchange con un nuovo malware chiamato CAPIBAR.

Il malware viene diffuso attraverso un sistema e-mail di phishing con macro dannose contenute negli allegati Excel. La macro in questione, una volta avviata,  esegue un comando PowerShell, imitando un programma di aggiornamento del browser Firefox tramite un’attività pianificata, che scarica il malware vero e proprio.

Server Exchange diventano centri di comando malware: ecco come lavorano gli hacker di Turla

La backdoor di cui stiamo parlando consente agli attori delle minacce di esfiltrare i dati tramite Rclone dopo aver infettato i dispositivi. In particolare, CAPIBAR trasforma il server Microsoft Exchange in un server di comando e controllo.

Con l’aiuto di un modulo PowerShell, viene installato il componente lato server di Microsoft Exchange. Mentre questo modulo viene utilizzato dagli amministratori per applicare automaticamente configurazioni server standardizzate, creando modelli predefiniti per diversi dispositivi con impostazioni identiche.

Gli autori delle minacce di Turla utilizzano DSC per caricare automaticamente un eseguibile Windows con codifica Base64, convertendo Exchange in un server malware.

Inoltre, questo strumento di spionaggio informatico consente agli hacker di eseguire diverse attività illecite come eseguire JavaScript, estrarre dati dai registri degli eventi e rubare credenziali da vari programmi inclusi:

  • Browser
  • Client FTP
  • VPN
  • KeePass
  • Azure
  • AWS
  • Outlook

Sia Microsoft Threat Intelligence che il CERT-UA sono a lavoro su alcuni campioni per scoprire quanto più possibile riguardo CAPIBAR e le sue capacità.

Fonte: gbhackers.com

Ti consigliamo anche

Google Play Protect identifica ora le app che raccolgono dati di nascosto
Mobile

Google Play Protect identifica ora le app che raccolgono dati di nascosto
Patch Tuesday di novembre 2024: risolte 4 vulnerabilità zero-day
Vulnerabilità

Patch Tuesday di novembre 2024: risolte 4 vulnerabilità zero-day
Truffa a nome di Brad Pitt su Facebook: rubati 15 mila euro a una donna italiana
Sicurezza

Truffa a nome di Brad Pitt su Facebook: rubati 15 mila euro a una donna italiana
Malware sfrutta raro linguaggio di programmazione per eludere rilevamento
Vulnerabilità

Malware sfrutta raro linguaggio di programmazione per eludere rilevamento
Link copiato negli appunti