В некоторых случаях несколько групп злоумышленников нацеливаются на одну и ту же организацию.

Иллюстрация REUTERS

ESET, лидер в области информационной безопасности, обнаружила более 10 различных групп APT, которые используют новые уязвимости Microsoft Exchange для компрометации почтовых серверов. В частности, исследователи ESET зафиксировали более 5000 зараженных почтовых серверов. Серверы принадлежат компаниям и правительственным учреждениям по всему миру, в том числе довольно известным.

В начале марта Microsoft выпустила обновления для Exchange Server 2013, 2016 и 2019 годов, которые исправляют ряд уязвимостей предварительной аутентификации удаленного выполнения кода (RCE). Эти уязвимости позволяют злоумышленнику получить контроль над любым доступным сервером Exchange без необходимости использования учетных данных. Это делает серверы Exchange, подключенные к Интернету, особенно уязвимыми.

Идентификация веб-оболочек, загруженных через CVE-2021-26855 — одна из новых уязвимостей Exchange "На следующий день после выпуска патчей мы обнаружили, что многие злоумышленники массово сканируют и компрометируют серверы Exchange. Интересно, что все они являются склонными группами, нацеленными на шпионаж, за исключением одной группы, которая, вероятно, связана с известной добывающей кампанией. Хотя в будущем все больше и больше киберпреступников, включая операторов программ-вымогателей, будут иметь доступ к эксплойтам", - говорит Матье Фау, исследователь ESET.

Специалисты ESET заметили, что некоторые APT-группы использовали уязвимости еще до выпуска исправлений. "Это исключает возможность того, что эти группы киберпреступников создали эксплойт путем обратного проектирования обновлений Microsoft", - добавляет Матье Фау.

Телеметрия ESET обнаружила наличие веб-оболочек (вредоносных программ или скриптов, позволяющих удаленно управлять сервером через веб-браузер) на 5000 уникальных серверах в более чем 115 странах.

Процент обнаруженных веб-оболочек по странам в период с 28 февраля по 9 марта 2021 года

ESET обнаружила более 10 различных групп киберпреступников, которые, вероятно, использовали новые уязвимости Microsoft Exchange RCE для установки вредоносных программ, таких как веб-оболочки и бэкдоры, на почтовые серверы жертв. В некоторых случаях несколько групп злоумышленников нацеливаются на одну и ту же организацию.

Идентифицированные группы хакеров и их поведение:

• Тик скомпрометировал веб-сервер восточноазиатской IT-компании. Как и в случае с LuckyMouse и Calypso, злоумышленники, вероятно, имели доступ к эксплойтам до того, как были выпущены патчи. LuckyMouse взломал почтовый сервер правительственного агентства на Ближнем Востоке. Эта группа APT, вероятно, имела эксплойт по крайней мере за день до выпуска патчей. Калипсо взломала почтовые серверы правительственных организаций на Ближнем Востоке и в Южной Америке. Злоумышленники, вероятно, имели доступ к эксплойтам" 0-day ". Впоследствии операторы Calypso нацелились на дополнительные серверы правительственных организаций и частных компаний в Африке, Азии и Европе.

• Websiic нацелился на 7 почтовых серверов, принадлежащих частным компаниям в Азии и правительственному агентству в Восточной Европе. Специалисты ESET назвали эту новую группу Websiic. Группа Winnti взломала почтовые серверы нефтяной компании и компании по производству строительного оборудования в Азии. Группа киберпреступников, вероятно, имела доступ к эксплойтам до того, как были выпущены патчи. Команда Tonto взломала почтовые серверы закупочной компании и консалтинговой компании, специализирующейся на разработке программного обеспечения и кибербезопасности в Восточной Европе. ShadowPad скомпрометировал почтовые серверы разработчика программного обеспечения в Азии и компании по недвижимости на Ближнем Востоке. Специалисты ESET обнаружили вариант бэкдора ShadowPad, загруженного неизвестной группой.

• Cobalt Strike "Opera" заразила около 650 серверов в США, Германии, Великобритании и других европейских странах в течение нескольких часов после выхода исправлений.

• Бэкдор IIS был установлен через веб-оболочки, используемые в этих компромиссах, на 4 почтовых серверах в Азии и Южной Америке. Один из бэкдоров известен как Owlproxy.

• Микроцен скомпрометировал сервер коммунальной компании в Центральной Азии.

• DLTMiner-ESET обнаружила развертывание загрузчика PowerShell на нескольких почтовых серверах, которые были атакованы с использованием уязвимостей Exchange. Сетевая инфраструктура, которая использовалась в этой атаке, связана с хорошо известной кампанией майнинга.

"Теперь необходимо как можно скорее применить исправления ко всем серверам Exchange, даже к тем, которые не имеют прямого доступа в Интернет. В случае компрометации администраторы должны удалить веб-оболочки, изменить учетные данные и исследовать любые дополнительные вредоносные действия. Этот инцидент является хорошим напоминанием о том, что сложные программы, такие как Microsoft Exchange или SharePoint, не должны быть общедоступными в Интернете", - советует Матье Фо.

Более подробную информацию об атаках, использующих новые уязвимости Exchange, можно найти здесь.

Помогите. ESET-эксперт в области защиты от киберпреступности и компьютерных угроз, международный разработчик антивирусного программного обеспечения и ведущий поставщик в области создания технологий обнаружения угроз. Основанная в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства более чем в 180 странах мира. Головной офис компании находится в Братиславе, Словакия.

Вот уже более 15 лет продукция ESET официально представлена в Украине. С 2005 года пользователи могут бесплатно обращаться в техническую поддержку ESET в Украине, а также проходить обучающие курсы по продуктам ESET. Пользователями ESET являются крупнейшие украинские и международные компании и организации.

Автор: УНИАН