Тысячи почтовых серверов под угрозой из-за уязвимости в Microsoft Exchange

Компания ESET обнаружила более 10 различных APT-групп, которые используют новые уязвимости Microsoft Exchange для компрометации почтовых серверов. В частности исследователи ESET зафиксировали более 5000 инфицированных почтовых серверов. Серверы принадлежат предприятиям и правительственным учреждениям по всему миру, в том числе и довольно известным.

В начале марта Microsoft выпустила обновление для Exchange Server 2013, 2016 и 2019, которые исправляют ряд уязвимостей предварительной аутентификации удаленного выполнения кода (RCE). Уязвимости позволяют злоумышленнику получить контроль над любым доступным сервером Exchange без потребности в учетных данных . Это делает серверы Exchange, подключенные к Интернету, особенно уязвимыми.

«На следующий день после выхода исправлений мы обнаружили, что многие злоумышленники массово сканируют и компрометируют серверы Exchange. Интересно, что все они являются APT-группами, направленными на шпионаж, за исключением одной группы, которая, вероятно, связана с известной компанией по майнингу. Хотя в дальнейшем все больше киберпреступников, включая операторов программ-вымогателей , получат доступ к эксплойтам», – комментирует Матье Фау, исследователь компании ESET.

Специалисты ESET заметили, что некоторые APT-группы использовали уязвимости еще до выхода исправлений . Это исключает возможность, что эти группы киберпреступников создали эксплойт путем обратной инженерии обновлений Microsoft.

Телеметрия ESET обнаружила наличие веб-шелов (вредоносные программы или скрипты, которые позволяют дистанционно управлять сервером через веб-браузер) на 5000 уникальных серверах в более 115 странах.

ESET обнаружила более 10 различных групп киберпреступников, которые, вероятно, использовали новые уязвимости Microsoft Exchange RCE для инсталляции вредоносных программ , таких как веб-шелы и бэкдоры , на почтовые серверы жертв. В некоторых случаях несколько групп злоумышленников нацелены на одну и ту же организацию.

Выявленные группы хакеров и их поведение:

  • Tick скомпрометировала веб ИТ-компании из Восточной Азии. Как и в случае с LuckyMouse и Calypso, злоумышленники, вероятно, имели доступ к эксплойтам еще до выхода исправлений.
  • LuckyMouse скомпрометировала почтовый сервер правительственного учреждения на Ближнем Востоке. Эта APT-группа, вероятно, имела эксплойт как минимум за день до выхода исправлений.
  • Calypso скомпрометировала почтовые серверы правительственных организаций на Ближнем Востоке и в Южной Америке. Злоумышленники, вероятно, имели доступ к «0-дневным» эксплойтам. Впоследствии операторы Calypso нацелились на дополнительные серверы государственных организаций и частных компаний в Африке, Азии и Европе.
  • Websiic нацеливались на 7 почтовых серверов, принадлежащих частным компаниям в Азии и правительственному учреждению в Восточной Европе. Специалисты ESET назвали эту новую группу Websiic.
  • Группа Winnti скомпрометировала почтовые серверы нефтяной компании и предприятия по производству строительного оборудования в Азии. Группа киберпреступников, вероятно, имела доступ к эксплойтам до выхода исправлений.
  • Tonto Team скомпрометировала почтовые серверы закупочной компании и консалтингового предприятия, которое специализируется на разработке программного обеспечения кибербезопасности, в Восточной Европе.
  • ShadowPad скомпрометировала почтовые серверы разработчика программного обеспечения в Азии и компании по недвижимости на Ближнем Востоке. Специалисты ESET обнаружили вариант бэкдора ShadowPad, загруженный неизвестной группой.
  • Cobalt Strike “Opera” инфицировал около 650 серверов в США, Германии, Великобритании и других европейских странах через несколько часов после выхода исправлений.
  • Бэкдор IIS устанавливался через веб-шелы, которые используются в этих компрометациях, на 4 почтовых серверах в Азии и Южной Америке. Один из бэкдоров известный как Owlproxy.
  • Mikroceen скомпрометировала сервер коммунальной компании в Центральной Азии.
  • DLTMiner – ESET обнаружила развертывания загрузчиков PowerShell на нескольких почтовых серверах, которые были атакованы с использованием уязвимостей
  • Exchange. Инфраструктура сети, использованная в этой атаке, связанная с известной компанией по майнингу.

«Сейчас необходимо как можно скорее применить исправления для всех серверов Exchange, даже для тех, кто не имеет прямого доступа к Интернету. В случае компрометации администраторы должны удалить веб-шелы, изменить учетные данные и исследовать любые дополнительные вредные действия. Этот инцидент является хорошим напоминанием о том, что сложные программы, такие как Microsoft Exchange или SharePoint, не должны быть в открытом доступе в Интернете », – советует Матье Фау.

Читайте обзоры:

-->