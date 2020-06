Verschillende Australische overheidsinstanties en bedrijven zijn het doelwit van spearphishing en aanvallen waarbij exploits voor bekende kwetsbaarheden worden gebruikt, zo laat het Australian Cyber Security Centre (ACSC) weten. De aanvallen zouden afkomstig zijn van een niet nader genoemde statelijke actor.

Het ACSC heeft de campagne van de aanvaller de naam "Copy-paste compromises" gegeven, omdat die proof-of-concept exploitcode, webshells en andere gebruikte tools nagenoeg één op één kopieert van opensourcebronnen. Om de netwerken van aangevallen organisaties te compromitteren maakt de aanvaller voornamelijk gebruik van bekende kwetsbaarheden.

Het gaat onder andere om een beveiligingslek in Telerik UI. Via deze software is het mogelijk om gebruikersinterface-elementen aan websites en webapplicaties toe te voegen. Een kwetsbaarheid in Telerik UI maakt het mogelijk voor aanvallers om willekeurige bestanden naar de onderliggende webserver te uploaden en die zo te compromitteren. Tevens probeert de aanvaller via bekende kwetsbaarheden in Microsoft Internet Information Services (IIS), SharePoint en Citrix binnen te komen. Beveiligingsupdates voor deze kwetsbaarheden zijn al sinds vorig jaar beschikbaar.

Wanneer deze aanvallen mislukken probeert de aanvaller via spearphishing de organisatie binnen te dringen. Zo worden er e-mails verstuurd die naar phishingsites of malware linken of malware als bijlage bevatten. Ook komt het voor dat de aanvaller naar apps linkt die om de Office 365 OAuth-tokens van de gebruiker vragen, waarmee de aanvaller toegang tot het Office 365-account krijgt.

Zodra een eerste machine of account is gecompromitteerd probeert de aanvaller via een combinatie van open source en zelfontwikkelde tools het netwerk verder te compromitteren. Volgens het ACSC probeert de aanvaller echter snel via gestolen inloggegevens legitieme remote toegang te krijgen.

Om de aanvallen af te slaan roept het ACSC organisaties op om op internet aangesloten systemen te patchen. Alle kwetsbaarheden waarvan de aanvaller gebruikmaakt zijn al lang bekend en zijn via beschikbare beveiligingsupdates te verhelpen. Tevens wordt het gebruik van multifactorauthenticatie voor vpn's, remote desktops, e-mail en andere "remote access services" aangeraden. Vorige maand kwam het ACSC al met een soortgelijke waarschuwing dat aanvallers van de eerder genoemde technieken gebruikmaken.