Verschillende spionagegroepen zijn er vorig jaar in geslaagd om via een Exchange Server in te breken op het netwerk van een Amerikaanse defensieorganisatie en konden vervolgens maandenlang gevoelige data stelen, zo claimt het Cybersecurity and Infrastructure Security Agency (CISA) van het ministerie van Homeland security in een nieuwe waarschuwing.

De aanval was gericht tegen een organisatie in de Defense Industrial Base (DIB) sector. Het gaat hier om defensiebedrijven en onderdelen van het Amerikaanse ministerie van Defensie. Volgens het CISA wisten meerdere advanced persistent threat (APT) groepen het netwerk van de defensieorganisatie te compromitteren, waarbij er verschillende langere tijd toegang hadden.

De Exchange-server van de organisatie speelde hierbij een belangrijke rol, aangezien verschillende van de APT-groepen hier halverwege januari op een onbekende manier toegang toe wisten te krijgen. Nadat er toegang was verkregen werden mailboxes doorzocht en gebruikten de aanvallers een gecompromitteerd beheerdersaccount om de Exchange Web Services (EWS) API te benaderen. Via EWS kan toegang tot mailboxes, contacten en meetings worden verkregen. Begin februari werd de EWS API-toegang opnieuw gebruikt. Ook lukte het de aanvallers om zich lateraal naar een ander systeem te bewegen.

In maart werd er gebruik gemaakt van vier kwetsbaarheden in Exchange Server om in totaal zeventien webshells op de betreffende Exchange-server te installeren. Vervolgens werd ook de HyperBro-malware op de Exchange-server en andere systemen geïnstalleerd. Hyperbro is een remote access tool (RAT) waarmee het mogelijk is om systemen op afstand te benaderen. Van juli tot en met oktober maakten de aanvallers gebruik van een tool genaamd "CovalentStealer" om daarmee de "resterende" gevoelige bestanden van de organisatie te stelen, aldus het CISA.

Uiteindelijk wisten de aanvallers tot halverwege januari van dit jaar toegang tot de organisatie te behouden, vermoedelijk door het gebruik van legitieme inloggegevens. Voor het benaderen van de Exchange-server maakten de aanvallers gebruik van virtual private network (VPN) en virtual private server (VPS) providers, M247 en SurfShark. Het CISA, de FBI en NSA adviseren organisaties dan ook om in hun logbestanden te kijken naar verbindingen afkomstig van SurfShark en M247. Verder wordt ook aangeraden om het aantal remote access tools te beperken en waar die toegang toe hebben.