Malware-ul Valak atacă serverele Microsoft Exchange

Cercetătorii Cybereason Nocturnus au descoperit o nouă versiune a malware-ului Valak, ce vizează serverele Microsoft Exchange cu scopul de a exfiltra credențialele de rețea și date sensibile. Valak a fost folosit inițial pentru distribuiriea de malware și a evoluat agresiv, de la sfârșitul anului 2019, la peste 20 de versiuni diferite.

Această ultimă variantă are o arhitectură modulară, cu diverse componente plug-in care pot efectua recunoașterea și exfiltrarea de informații și încorporează tehnici de evaziune sofisticate, cum ar fi ascunderea componentelor malware în regiștri și evitarea detectării de către software-ul de securitate.

Procesul de infectare

Etapa inițială a infectării începe cu un document Microsoft Word, livrat printr-un e-mail de phishing, ce conține un cod macro încorporat, utilizat pentru a descărca fișierul DLL cu extensia .cab. Acesta folosește „regsvr32.exe” pentru a lansa în execuție API WinExec ce va descărca un cod JavaScript, în vederea stabilirii unei conexiuni de date la serverele de comandă și control (C2), precum și alte fișiere, care sunt decodate folosind Base64 și un algoritm de decriptare XOR, pentru a distribui două programe malware: project.aspx și a.aspx.

În a doua etapă, project.aspx acționează ca un manager pentru cheile de regiștri, planificarea activității și persistența pe server, iar a.aspx, redenumit ca PluginHost.exe, va lansa o serie de plug-in-uri care pot îndeplini diverse funcții pe Exchange Server, ca: recunoaștere și exfiltrare de date din rețea, infiltrarea sistemului de e-mail, colectarea informațiilor cu privire la procesele de rulare ale mașinii infectate și capturile de ecran.

Valak are șase componente de plugin care le permit hackerilor să obțină informații sensibile de la victimele sale:

  • Systeminfo: responsabil pentru recunoaștere extinsă, acesta vizează administratorii locali și de domeniu;
  • Exchgrabber:  exfiltrare de date Microsoft Exchange și infiltrarea sistemului de e-mail;
  • IPGeo:   localizare geografică;
  • Procinfo:  colectează informații despre procesele ce rulează pe stația infectată;
  • Netrecon:  realizează recunoașterea rețelei;
  • Screencap:  efectuează capturi de ecran.

Versiunile anterioare de Valak au folosit codul pentru a descărca alte programe malware, cum ar fi Ursnif sau IcedID. Conexiunea dintre cele trei programe sugerează că operatorii lui Valak ar putea face parte din grupările de hackeri rusești, potrivit analizei Cybereason.

„Companiile ar trebui să continue să pună în aplicare cele mai bune practici de securitate, cum ar fi filtrarea e-mailurilor, analiza atașamentelor de e-mail și educația obligatorie pentru conștientizarea securității cibernetice a angajaților”, a declarat firma de servicii de securitate EmberSec într-un comunicat.

Surse:

www.threatpost.com

www.tech.hindustantimes.com