Hacker trasformano server Exchange in centri di comando per malware

Il gruppo APT noto come Turla (ma anche con nomi come Secret Blizzard, KRYPTON e UAC-0003) sono hacker riconducibili alla Russia, è famoso per alcune sua attività alquanto sofisticate.

Di recente, questa gang è salita agli onori della cronaca per essere stata coinvolta nell’interruzione della botnet di spionaggio informatico Snake, attraverso l’operazione MEDUSA e altri attacchi simili.

Secondo una recente ricerca di Microsoft Threat Intelligence e il CERT-UA ucraino, Turla ha preso di mira i server Microsoft Exchange con un nuovo malware chiamato CAPIBAR.

Il malware viene diffuso attraverso un sistema e-mail di phishing con macro dannose contenute negli allegati Excel. La macro in questione, una volta avviata,  esegue un comando PowerShell, imitando un programma di aggiornamento del browser Firefox tramite un’attività pianificata, che scarica il malware vero e proprio.

Server Exchange diventano centri di comando malware: ecco come lavorano gli hacker di Turla

La backdoor di cui stiamo parlando consente agli attori delle minacce di esfiltrare i dati tramite Rclone dopo aver infettato i dispositivi. In particolare, CAPIBAR trasforma il server Microsoft Exchange in un server di comando e controllo.

Con l’aiuto di un modulo PowerShell, viene installato il componente lato server di Microsoft Exchange. Mentre questo modulo viene utilizzato dagli amministratori per applicare automaticamente configurazioni server standardizzate, creando modelli predefiniti per diversi dispositivi con impostazioni identiche.

Gli autori delle minacce di Turla utilizzano DSC per caricare automaticamente un eseguibile Windows con codifica Base64, convertendo Exchange in un server malware.

Inoltre, questo strumento di spionaggio informatico consente agli hacker di eseguire diverse attività illecite come eseguire JavaScript, estrarre dati dai registri degli eventi e rubare credenziali da vari programmi inclusi:

• Browser
• Client FTP
• VPN
• KeePass
• Azure
• AWS
• Outlook

Sia Microsoft Threat Intelligence che il CERT-UA sono a lavoro su alcuni campioni per scoprire quanto più possibile riguardo CAPIBAR e le sue capacità.