概述
2023年3月14日,乌克兰计算机应急响应小组(CERT-UA)向微软上报的Outlook提权漏洞CVE-2023-23397相关信息被公布[1,2],据称该漏洞被APT28组织在2022年4月中旬和12月的攻击活动中使用。
奇安信威胁情报中心红雨滴团队对相关事件进行跟进,发现了一批利用CVE-2023-23397漏洞的攻击样本。在分析了这些样本和C2服务器后,我们认为该漏洞的在野利用至少从2022年3月开始,攻击者后期以Ubiquiti-EdgeRouter路由器作为C2服务器,且攻击活动的受害者涉及多个国家。
漏洞简述
该漏洞主要源自邮件中附加约会事件所添加的两个特殊属性,当Outlook解析带有以上属性的邮件时,会去访问其中设置的UNC路径进行认证校验,从而导致机器NTLM hash泄露。这里直接使用漏洞分析文章[3]中给出的PoC代码。
邮件触发后可以看到responder已经获取到了对应的NTLM hash。
详细分析
利用CVE-2023-23397的恶意邮件自2022年就在VT上出现,以下按照我们发现这些样本的顺序进行说明。
序号 | MD5 | VT上传时间 |
1 | 2bb4c6b32d077c0f80cda1006da90365 | 2022-12-29 13:00:43 UTC |
2 | 9f4172d554bb9056c8ba28e32c606b1e | 2022-04-01 06:21:07 UTC |
3 | 3d4362e8fe86d2f33acb3e15f1dad341 | 2022-04-14 11:49:27 UTC |
4 | e6efaabb01e028ef61876dd129e66bac | 2023-03-23 09:03:23 UTC |
针对土耳其国防科技公司的样本
样本1(2bb4c6b32d077c0f80cda1006da90365)于2022年12月29日从土耳其上传VT。样本中附带的UNC链接为\\113.160.234[.]229\istanbul”。邮件就是一个约会,其中的正文也是伊斯坦布尔。
回连的UNC IP位于越南。
如下图所示可以看到这个IP在2022年4月的时候对应设备是一个路由器。
2023年1月的时候仍是这个路由器,因此该设备可能是一个被攻陷的路由器。
路由器型号可能是Ubiquiti-EdgeRouter。
从邮件msg正文可知,发件IP就是对应的UNC链接的IP地址,发件日期为2022-12-29。
对应的发件邮箱注册了一个wizzsolutions.com的VPS。
恶意邮件的收件人属于一家名为STM的土耳其公司(https://www.stm.com.tr/tr),该公司主营军事船舶、国防科技等相关业务。
针对乌克兰国家移民局的样本
随着进一步挖掘,我们发现最早有活动的样本(9f4172d554bb9056c8ba28e32c606b1e)在2022年4月1日从乌克兰上传,样本名称为”2022-03-18 – лист.eml”,且邮件正文的发送时间也为2022年3月18日,有理由相信这个时间是比较精确的攻击时间。
邮件的正文如下所示,对应的UNC链接地址为”\\5.199.162[.]132\SCW”。
下图为对应的邮件eml文件名和邮件正文的内容。
UNC链接中的IP位于立陶宛。
可以看到Fofa在2022-04-01也对这个IP进行了扫描,其对应的证书如下。
根据该指纹扩展发现另外两个可疑的C2,其活动时间大致也在2022年3~4月之间。
IP | 域名 |
77.243.181.10:443 | globalnewsnew.com |
45.138.87.250:443 | ceriossl.info |
从eml文件正文可以看到,对应的发件IP就是5.199.162.132,恶意邮件收件邮箱是palamarchuk@dmsu.gov.ua,邮件发送日期为2022-03-18。
该邮箱是乌克兰国家移民局的邮箱,攻击对象大概率是乌克兰国家移民局的人员。
针对罗马尼亚外交部的样本
同样2022年4月还有一封邮件样本(3d4362e8fe86d2f33acb3e15f1dad341)上传VT,上传地为德国。该邮件对应的UNC链接为“\\101.255.119[.]42\event\2431“,其本身正文内容没有什么特别的。
对应的UNC IP在印度尼西亚雅加达。
有意思的是该IP对应设备依然是一个路由器,且型号和前面的样本一致,都是Ubiquiti-EdgeRouter。
同样从邮件头可知,发件IP依然是UNC链接的地址。
这里的受害者邮箱疑似属于罗马尼亚外交部,该信息主要来自于国际水文测量组织(IHO)的”水文学家–海洋划界专家名单”。
针对波兰军火商的样本
此外还有研究人员发布了一个2022年9月的攻击样本(e6efaabb01e028ef61876dd129e66bac)。
UNC链接中的IP位于伊拉克。
同样该IP下也是Ubiquiti-EdgeRouter型号的路由器。
其对应的邮件正文中,发件IP同样是UNC链接中的IP。
攻击目标是一家波兰军火商(PIT-RADWAR SA)。
而发件邮箱则属于一家印度银行(COASTAL BANK),猜测印度可能也已经被攻击了。
可以看到该银行使用的是webmail邮箱。
漏洞攻击信息汇总
这里结合微软发布的通告[4]及奇安信威胁情报中心的扩展,对目前关于CVE-2023-23397漏洞攻击信息的汇总如下。
攻击IP | IP属地 | 设备信息 | 相关时间 | 受害者 |
5.199.162[.]13:443
sourcescdn.net |
立陶宛 | VPS | 发件时间
2022-03-18 样本上传时间 2022-04-01 |
乌克兰国家移民局 |
77.243.181[.]10:443
globalnewsnew.com |
德国 | VPS | 2022-04-01之前 | |
45.138.87[.]250:443
ceriossl.info |
罗马尼亚 | VPS | 2022-04-01之前 | |
101.255.119[.]42 | 印度尼西亚 | Ubiquiti-EdgeRouter | 发件时间
2022-04-14 样本上传时间 2022-04-14 |
罗马尼亚外交部 |
213.32.252[.]221 | 伊拉克 | Ubiquiti-EdgeRouter | 发件时间
2022-09-29 样本上传时间 2022-09-29 |
波兰军火商PIT-RADWAR SA
发件邮箱为印度银行Coastal Bank |
168.205.200[.]55 | 巴西 | Ubiquiti-EdgeRouter | ||
185.132.17[.]160 | 瑞士 | Ubiquiti-EdgeRouter | ||
69.162.253[.]21 | 美国 | Ubiquiti-EdgeRouter | ||
113.160.234[.]229 | 越南 | Ubiquiti-EdgeRouter | 发件时间
2022-12-29 样本上传时间 2022-12-29 |
土耳其国防科技公司STM |
181.209.99[.]204 | 阿根廷 | Ubiquiti-EdgeRouter | ||
82.196.113[.]102 | 瑞典 | Ubiquiti-EdgeRouter | ||
85.195.206[.]7 | 瑞士 | Ubiquiti-EdgeRouter | ||
61.14.68[.]33 | 新加坡 | Ubiquiti-EdgeRouter |
可以看到攻击的最早时间大致是在2022年3~4月,早期用于恶意邮件发送的都是VPS,漏洞触发后回连的UNC地址也是同一台VPS。在2022年4月14日之后,所有的攻击C2都替换成了Ubiquiti-EdgeRouter路由器。
这里我们搜索了一下,发现该路由器比较重要的漏洞为2021年8月ZDI对外披露的CVE-2021-22909,攻击者可以通过MITM中间人攻击下发恶意固件,从而实现代码执行。
但是在Outlook提权漏洞的系列攻击中,攻击者是否使用该路由器漏洞还不得而知。
总结
在CVE-2023-23397漏洞的系列攻击中,攻击者使用的C2服务器包括了多个地区被攻陷的路由器设备,实际攻击目标覆盖乌克兰、罗马尼亚、波兰、土耳其等。从受害者所属地域上看,国外安全研究员关于攻击者疑似为APT28的推论有一些道理,但是在有更多的确凿证据之前,奇安信威胁情报中心对此归属依然持保留态度。
我们暂未发现国内受到相关攻击活动影响,不过奇安信红雨滴团队仍在此提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOCs
MD5
e6efaabb01e028ef61876dd129e66bac
3d4362e8fe86d2f33acb3e15f1dad341
9f4172d554bb9056c8ba28e32c606b1e
2bb4c6b32d077c0f80cda1006da90365
C2
\\113.160.234[.]229\istanbul
\\5.199.162[.]132\SCW
\\101.255.119[.]42\event\2431
\\213.32.252[.]221\silence
参考链接
[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
[2] https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-zero-day-used-by-russian-hackers-since-april-2022/
[3] https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/
[4] https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表GetTrust立场,转载目的在于传递更多信息。如有侵权,请联系删除。