See Recorded Future’s Threat Intelligence Solutions in Action

Sehen Sie sich unsere Threat Intelligence-Lösungen in Aktion an

Reduzieren Sie Risiken und wehren Sie Cyberangriffe ab, unabhängig von Ihrem IT- und Sicherheits-Stack, Ihrer Wachstumsstufe oder Ihrer Branche

Kostenlose Demo buchen

Lösungen zur Risikominderung anzeigen

See Recorded Future’s Intelligence in Action

Erleben Sie die Intelligence von Recorded Future in Aktion

Reduzieren Sie das Betriebsrisiko durch zeitnahe, präzise und umsetzbare Informationen.

Kostenlose Demo buchen

Übersicht über Intelligence Cloud

Sehen Sie sich die Übersicht über Services und Support an

Research-Überblick anzeigen

Research (Insikt)

Chinesische Gruppe Calypso APT nutzt mutmaßlich anfällige Microsoft Exchange-Server aus

Veröffentlicht: 25. März 2021

Von: Insikt Group

Suspected Chinese Group Calypso APT Exploiting Vulnerable Microsoft Exchange Servers

Beginning on March 1, 2021, Recorded Future’s Insikt Group identified a large increase in victim communications to PlugX command and control (C2) infrastructure publicly attributed to the suspected Chinese state-sponsored group Calypso APT. We believe that this activity is highly likely linked to the exploitation of recently disclosed Microsoft Exchange vulnerabilities (also known as ProxyLogon — CVE-2021-26855, CVE-2021-27065). Our observations align with recent reporting by ESET in which the group was identified targeting vulnerable Exchange servers to deploy a web shell and ultimately load the PlugX malware post-exploitation.

Die angegriffenen Organisationen waren geographisch weit verstreut und deckten mehrere Branchen ab, was die allgemeine Branchenmeinung stützt, dass die Angriffe wahrscheinlich opportunistisch sind. Zu den Opfern der festgestellten Post-Exploitation-Aktivitäten zählten lokale und nationale Regierungen sowie Unternehmen aus den Bereichen Software, Verteidigung, Finanzen, IT, Recht und Fertigung in Australien, der Tschechischen Republik, Deutschland, Indien, Italien, Kasachstan, Mazedonien, Nepal, der Schweiz, der Ukraine und den Vereinigten Staaten. Wir haben mehrere hochwertige Ziele ermittelt, die vermutlich betroffen sind. Dazu gehören ein US-amerikanischer Distributor von Elektronikteilen für die Verteidigungs- und Luftfahrtbranche, ein indisches Schwermaschinenbauunternehmen mit Präsenz in strategischen Verteidigungssektoren, lokale Regierungen in den USA und Australien sowie eine nordmazedonische Regierungsbehörde.

Die von der Insikt Group identifizierte Aktivität begann am 1. März 2021, vor der Offenlegung der Schwachstellen. Dies deutet darauf hin, dass die Gruppe wahrscheinlich schon vor der Offenlegung durch Microsoft Zugriff auf den Exploit als Zero-Day-Sicherheitslücke hatte, und bestätigt eine ähnliche Einschätzung von ESET.

Infrastruktur- und Malware-Analyse

Die Insikt Group hat einen Cluster aus PlugX C2-Servern und zugehöriger Infrastruktur verfolgt, der sich mit öffentlichen Berichten zum Calypso APT von PTSecurity und ESET überschneidet. Wir haben unseren Kunden erstmals im August 2020 über Aktivitäten im Zusammenhang mit diesem Infrastrukturcluster berichtet, nachdem wir mutmaßliche Einbruchsaktivitäten festgestellt hatten, die auf einen afghanischen Telekommunikationsanbieter und eine Regierungsbehörde abzielten. Der identifizierte Cluster ist in der folgenden Tabelle 1 aufgeführt:

Aktuelle Hosting-IP	Domain	Registrator	Eingetragen
91.220.203[.]197 () [PlugX C2]	www.membrig[.]com	NAMECHEAP INC	2018-12-13
103.30.17[.]44 ()	www.draconess[.]com	NAMECHEAP INC	2018-02-05
91.220.203[.]86 () [PlugX C2]	www.rosyfund[.]com	GuangDong NaiSiNiKe Information Technology Co Ltd.	2018-12-13
45.144.242[.]216 () [PlugX C2]	www.sultris[.]com	NAMECHEAP INC	2018-02-02
91.220.203[.]86 () [PlugX C2]	www.yolkish[.]com	NAMECHEAP INC	2018-01-29
45.76.84[.]36 ()	mail.prowesoo[.]com	NAMECHEAP INC	2018-02-02
45.76.84[.]36 ()	www.waxgon[.]com	NAMECHEAP INC	2018-01-31
107.248.220[.]246 ()	www.rawfuns[.]com1	NICENIC INTERNATIONAL GROUP CO., LIMITED	2018-02-05
45.76.84[.]36 ()	mail.aztecoo[.]com	NICENIC INTERNATIONAL GROUP CO., LIMITED	2018-02-05

Tabelle 1: Suspected Calypso APT infrastructure cluster

Durch die Untersuchung des PlugX-Clusters konnten wir die folgenden wichtigen Beobachtungen zu den Taktiken, Techniken und Verfahren (TTPs) der Infrastruktur von Calypso APT machen:

Die Mehrheit der Domänen verwendet das „www.“ Subdomäne für C2 ohne DNS-Eintrag für die Stammdomäne
Die meisten Domains wurden beim Registrar NameCheap registriert
C2-Domänen länger als 2 Jahre in Betrieb gehalten
Die Betriebsinfrastruktur wurde gehostet auf:
- M247 GmbH
- Global Network Transit Limited
- PEG TECH INC
- Web Werks India Pvt. GmbH
- Choopa LLC

Die Insikt Group hat die folgenden mit der identifizierten Infrastruktur verknüpften Malware-Beispiele identifiziert, von denen zwei in den Berichten von ESET aufgeführt wurden. Zu diesem Zeitpunkt haben wir noch keine umfassende Analyse dieser Proben durchgeführt:

Dateiname	SHA256-Hash	Malware-Variante	C2 IP/Domäne
FORTITRAY.EXE	913fa95829ba3f77c0673f0af5c6afaeb6e6a2bdd0e98c186df65f1d27b9dc1f	Unbekannt	www.yolkish[.]com
msf.exe	f32866258b67f041dc7858a59ea8afcd1297579ef50d4ebcec8775c816eb2da9	Meterpreter	45.144.242[.]216
SRVCON.OCX	5d803a47d6bb7f68d4e735262bb7253def6aaab03122b05fec468865a1babe32	PlugX Loader	yolkish[.]com und rawfuns[.]com
rapi.dll	ab678bbd30328e20faed53ead07c2f29646eb8042402305264388543319e949c	Whitebird-Lader	yolkish[.]com und rawfuns[.]com

Calypsos Angriff auf Microsoft Exchange Server und die Opfertheorie

chinese-group-calypso-exploiting-microsoft-exchange-2-1.png Abbildung 1: Timeline of PlugX C2 91.220.203[.]86 (Source: Recorded Future)

Recorded Future first identified the IP 91.220.203[.]86 as a suspected PlugX C2 on November 14, 2020. Using Recorded Future Network Traffic Analysis (NTA), we detected a large increase in activity linked to this C2 server from victim IP addresses hosting Microsoft Exchange services from March 1, 2021 onwards. We believe that this increase in activity is very likely linked to the widespread exploitation of recently publicized vulnerabilities impacting Microsoft Exchange, which were first disclosed on March 2, 2021.

Am 10. März 2021 berichtete ESET über eine Reihe von Bedrohungsaktivitätsgruppen, die größtenteils vom chinesischen Staat gesponsert wurden und eine Schwachstellenkette für Remote Code Execution (RCE) vor der Authentifizierung ausnutzten, die einem Angreifer einen ersten Zugriff auf mit dem Internet verbundene Microsoft Exchange-Server ermöglicht:

CVE-2021-26855 [ProxyLogon]
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065

First reported by Microsoft on March 2, exploitation of these vulnerabilities was initially linked to a China-based activity group tracked as HAFNIUM by Microsoft Threat Intelligence Center (MSTIC). ESET’s findings indicate that the vulnerabilities began to be exploited by additional Chinese activity groups, including Tick, LuckyMouse, and Calypso APT, in late February and early March. This activity occurred prior to the public disclosure of these vulnerabilities and suggests that these additional Chinese activity groups also had access to the exploit as a zero day. While initially exploited by HAFNIUM in “limited and targeted attacks”, from at least February 27 onwards, the vulnerabilities were subject to mass exploitation by an increasing number of groups (1,2,3).

This aforementioned PlugX C2 IP 91.220.203[.]86 currently hosts the domain www[.]yolkish[.]com, referenced within the aforementioned ESET reporting on the exploitation of Microsoft Exchange vulnerabilities. In this activity, the group was identified dropping web shells in the following locations following exploitation:

C:\inetpub\wwwroot\aspnet_client\client.aspx

C:\inetpub\wwwroot\aspnet_client\discover.aspx

Gegenmaßnahmen

Using this web shell access, Calypso APT was then identified loading the aforementioned PlugX and Whitebird malware samples through DLL search-order hijacking using legitimate executables. Insikt Group identified over 30 likely victim organizations communicating with the 91.220.203[.]86 PlugX C2 across a range of geographies and industry verticals, including local and national government, software, defense, finance, IT, legal, and manufacturing organizations in Australia, Czech Republic, Germany, India, Italy, Kazakhstan, Macedonia, Nepal, Switzerland, Ukraine, and the United States. Several of these organizations were not typical targets of cyber espionage activity, supporting wider industry commentary that much of the targeting is likely opportunistic.

Wir empfehlen die folgenden Maßnahmen, um Aktivitäten im Zusammenhang mit der identifizierten Calypso APT-Aktivität zu erkennen und einzudämmen:

Konfigurieren Sie Ihre Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den im Anhang aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und ggf. Verbindungsversuche von und zu diesen blockieren.
Recorded Future erkennt und protokolliert proaktiv bösartige Serverkonfigurationen im Command and Control Security Control Feed. Die Befehls- und Kontrollliste enthält Tools, die von Calypso und vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppen wie PlugX verwendet werden. Aufgezeichnete zukünftige Clients sollten vor diesen C2-Servern warnen und sie blockieren, um die Erkennung und Behebung aktiver Eindringversuche zu ermöglichen.
Wenn Sie Microsoft Exchange vor Ort ausführen, stellen Sie sicher, dass die neuesten Updates installiert und der Patch validiert ist.
Following deployment of updates, follow industry guidance on hunting for web shells installed on Exchange servers post-exploitation (1, 2).

Indikatoren für eine Gefährdung

Leser können auf die unten aufgeführten Indikatoren in unserem öffentlichen Insikt Group Github-Repository zugreifen: https://github.com/Insikt-Group/Research.

Verwandte Nachrichten & Forschung