Outlook权限提升漏洞 (CVE-2023-23397) 在野攻击样本分析

概述

2023年3月14日,乌克兰计算机应急响应小组(CERT-UA)向微软上报的Outlook提权漏洞CVE-2023-23397相关信息被公布[1,2],据称该漏洞被APT28组织在2022年4月中旬和12月的攻击活动中使用。

奇安信威胁情报中心红雨滴团队对相关事件进行跟进,发现了一批利用CVE-2023-23397漏洞的攻击样本。在分析了这些样本和C2服务器后,我们认为该漏洞的在野利用至少从2022年3月开始,攻击者后期以Ubiquiti-EdgeRouter路由器作为C2服务器,且攻击活动的受害者涉及多个国家。

漏洞简述

该漏洞主要源自邮件中附加约会事件所添加的两个特殊属性,当Outlook解析带有以上属性的邮件时,会去访问其中设置的UNC路径进行认证校验,从而导致机器NTLM hash泄露。这里直接使用漏洞分析文章[3]中给出的PoC代码。

邮件触发后可以看到responder已经获取到了对应的NTLM hash。

详细分析

利用CVE-2023-23397的恶意邮件自2022年就在VT上出现,以下按照我们发现这些样本的顺序进行说明。

序号 MD5 VT上传时间
1 2bb4c6b32d077c0f80cda1006da90365 2022-12-29 13:00:43 UTC
2 9f4172d554bb9056c8ba28e32c606b1e 2022-04-01 06:21:07 UTC
3 3d4362e8fe86d2f33acb3e15f1dad341 2022-04-14 11:49:27 UTC
4 e6efaabb01e028ef61876dd129e66bac 2023-03-23 09:03:23 UTC

针对土耳其国防科技公司的样本

样本1(2bb4c6b32d077c0f80cda1006da90365)于2022年12月29日从土耳其上传VT。样本中附带的UNC链接为\\113.160.234[.]229\istanbul”。邮件就是一个约会,其中的正文也是伊斯坦布尔。

回连的UNC IP位于越南。

如下图所示可以看到这个IP在2022年4月的时候对应设备是一个路由器。

2023年1月的时候仍是这个路由器,因此该设备可能是一个被攻陷的路由器。

路由器型号可能是Ubiquiti-EdgeRouter。

从邮件msg正文可知,发件IP就是对应的UNC链接的IP地址,发件日期为2022-12-29。

对应的发件邮箱注册了一个wizzsolutions.com的VPS。

恶意邮件的收件人属于一家名为STM的土耳其公司(https://www.stm.com.tr/tr),该公司主营军事船舶、国防科技等相关业务。

针对乌克兰国家移民局的样本

随着进一步挖掘,我们发现最早有活动的样本(9f4172d554bb9056c8ba28e32c606b1e)在2022年4月1日从乌克兰上传,样本名称为”2022-03-18 – лист.eml”,且邮件正文的发送时间也为2022年3月18日,有理由相信这个时间是比较精确的攻击时间。

邮件的正文如下所示,对应的UNC链接地址为”\\5.199.162[.]132\SCW”。

下图为对应的邮件eml文件名和邮件正文的内容。

UNC链接中的IP位于立陶宛。

可以看到Fofa在2022-04-01也对这个IP进行了扫描,其对应的证书如下。

根据该指纹扩展发现另外两个可疑的C2,其活动时间大致也在2022年3~4月之间。

IP 域名
77.243.181.10:443 globalnewsnew.com
45.138.87.250:443 ceriossl.info

从eml文件正文可以看到,对应的发件IP就是5.199.162.132,恶意邮件收件邮箱是palamarchuk@dmsu.gov.ua,邮件发送日期为2022-03-18。

该邮箱是乌克兰国家移民局的邮箱,攻击对象大概率是乌克兰国家移民局的人员。

针对罗马尼亚外交部的样本

同样2022年4月还有一封邮件样本(3d4362e8fe86d2f33acb3e15f1dad341)上传VT,上传地为德国。该邮件对应的UNC链接为“\\101.255.119[.]42\event\2431“,其本身正文内容没有什么特别的。

对应的UNC IP在印度尼西亚雅加达。

有意思的是该IP对应设备依然是一个路由器,且型号和前面的样本一致,都是Ubiquiti-EdgeRouter。

同样从邮件头可知,发件IP依然是UNC链接的地址。

这里的受害者邮箱疑似属于罗马尼亚外交部,该信息主要来自于国际水文测量组织(IHO)的”水文学家–海洋划界专家名单”。

针对波兰军火商的样本

此外还有研究人员发布了一个2022年9月的攻击样本(e6efaabb01e028ef61876dd129e66bac)。

UNC链接中的IP位于伊拉克。

同样该IP下也是Ubiquiti-EdgeRouter型号的路由器。

其对应的邮件正文中,发件IP同样是UNC链接中的IP。

攻击目标是一家波兰军火商(PIT-RADWAR SA)。

而发件邮箱则属于一家印度银行(COASTAL BANK),猜测印度可能也已经被攻击了。

可以看到该银行使用的是webmail邮箱。

漏洞攻击信息汇总

这里结合微软发布的通告[4]及奇安信威胁情报中心的扩展,对目前关于CVE-2023-23397漏洞攻击信息的汇总如下。

攻击IP IP属地 设备信息 相关时间 受害者
5.199.162[.]13:443

sourcescdn.net

立陶宛 VPS 发件时间

2022-03-18

样本上传时间

2022-04-01

乌克兰国家移民局
77.243.181[.]10:443

globalnewsnew.com

德国 VPS 2022-04-01之前
45.138.87[.]250:443

ceriossl.info

罗马尼亚 VPS 2022-04-01之前
101.255.119[.]42 印度尼西亚 Ubiquiti-EdgeRouter 发件时间

2022-04-14

样本上传时间

2022-04-14

罗马尼亚外交部
213.32.252[.]221 伊拉克 Ubiquiti-EdgeRouter 发件时间

2022-09-29

样本上传时间

2022-09-29

波兰军火商PIT-RADWAR SA

发件邮箱为印度银行Coastal Bank

168.205.200[.]55 巴西 Ubiquiti-EdgeRouter
185.132.17[.]160 瑞士 Ubiquiti-EdgeRouter
69.162.253[.]21 美国 Ubiquiti-EdgeRouter
113.160.234[.]229 越南 Ubiquiti-EdgeRouter 发件时间

2022-12-29

样本上传时间

2022-12-29

土耳其国防科技公司STM
181.209.99[.]204 阿根廷 Ubiquiti-EdgeRouter
82.196.113[.]102 瑞典 Ubiquiti-EdgeRouter
85.195.206[.]7 瑞士 Ubiquiti-EdgeRouter
61.14.68[.]33 新加坡 Ubiquiti-EdgeRouter

可以看到攻击的最早时间大致是在2022年3~4月,早期用于恶意邮件发送的都是VPS,漏洞触发后回连的UNC地址也是同一台VPS。在2022年4月14日之后,所有的攻击C2都替换成了Ubiquiti-EdgeRouter路由器。

这里我们搜索了一下,发现该路由器比较重要的漏洞为2021年8月ZDI对外披露的CVE-2021-22909,攻击者可以通过MITM中间人攻击下发恶意固件,从而实现代码执行。

但是在Outlook提权漏洞的系列攻击中,攻击者是否使用该路由器漏洞还不得而知。

总结

在CVE-2023-23397漏洞的系列攻击中,攻击者使用的C2服务器包括了多个地区被攻陷的路由器设备,实际攻击目标覆盖乌克兰、罗马尼亚、波兰、土耳其等。从受害者所属地域上看,国外安全研究员关于攻击者疑似为APT28的推论有一些道理,但是在有更多的确凿证据之前,奇安信威胁情报中心对此归属依然持保留态度。

我们暂未发现国内受到相关攻击活动影响,不过奇安信红雨滴团队仍在此提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

IOCs

MD5

e6efaabb01e028ef61876dd129e66bac

3d4362e8fe86d2f33acb3e15f1dad341

9f4172d554bb9056c8ba28e32c606b1e

2bb4c6b32d077c0f80cda1006da90365

C2

\\113.160.234[.]229\istanbul

\\5.199.162[.]132\SCW

\\101.255.119[.]42\event\2431

\\213.32.252[.]221\silence

参考链接

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

[2] https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-zero-day-used-by-russian-hackers-since-april-2022/

[3] https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/

[4] https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表GetTrust立场,转载目的在于传递更多信息。如有侵权,请联系删除。