Tisícky mailových serverov v ohrození, ESET odhalil ďalšie hackerské skupiny útočiace na Microsoft Exchange

Ďalší článok
blog_banner_eset_banner

Výskumníci spoločnosti ESET odhalili, že nedávno objavené zraniteľnosti Microsoft Exchange zneužíva viac ako desať rôznych skupín zameraných na pokročilé pretrvávajúce hrozby (APT skupiny). Cieľom týchto útokov je kompromitovanie mailových serverov. Spoločnosť ESET identifikovala viac ako 5 000 zasiahnutých serverov, ktoré patria aj významným firmám a vládnym organizáciám z celého sveta. Problém sa teda netýka iba skôr medializovanej skupiny Hafnium.

Začiatkom marca vydala spoločnosť Microsoft záplaty pre Exchange Servery 2013, 2016 a 2019, ktoré opravujú sériu RCE (remote code execution) zraniteľností. Tie umožňujú útočníkom zmocniť sa akéhokoľvek dostupného Exchange servera aj bez platných prístupových údajov. Zraniteľné sú najmä servery, ktoré sú pripojené k internetu.

„Deň po vydaní záplat sme začali pozorovať, ako mnohí aktéri hromadne vyhľadávajú a útočia na Exchange servery. Zaujímavé je, že všetky útoky majú na svedomí APT skupiny, ktoré sa zameriavajú na špionáž s výnimkou prípadu, kde to vyzerá na spojitosť so známou operáciou na ťaženie kryptomeny. V každom prípade je jasné, že čoraz viac útočníkov, vrátane útočníkov s ransomvérmi, získa skôr či neskôr prístup k zneužívaniu zraniteľností,“ varoval Matthieu Faou, ktorý viedol výskum spoločnosti ESET zameraný na zraniteľnosti serverov Exchange. Výskumníci spoločnosti ESET si všimli, že niektoré APT skupiny zneužívali zraniteľnosti ešte pred zverejnením záplat. „Môžeme tak vylúčiť, že by hackerské skupiny pripravili útok na základe reverzného inžinierstva aktualizácií Microsoftu,“ dodal Faou.

Telemetria spoločnosti ESET ukázala prítomnosť webshellov, škodlivých programov alebo scriptov, ktoré umožňujú diaľkové ovládanie servera cez webový prehliadač, na viac ako 5 000 rôznych serveroch vo viac ako 115 krajinách. Produkty spoločnosti ESET chránia pred postupom útoku využívajúceho zraniteľnosti Microsoft Exchange a to tým, že zachytávajú škodlivý kód typu webshell a backdoor, ktoré sú nainštalované útočníkmi.

Hodinové detekcie webshellov spoločnosti ESET, ktoré využili zraniteľnosť CVE-2021-26855 – jednu zo zraniteľností serverov Exchange
blog_banner_eset_banner
Pomer odhalení webshellov v jednotlivých krajinách medzi 28.2.2021 a 9.3.2021
blog_banner_eset_banner

Spoločnosť ESET identifikovala viac ako desať rôznych aktérov, ktorí pravdepodobne zneužili nedávne RCE zraniteľnosti Microsoft Exchange, aby nainštalovali do mailových serverov obetí škodlivé kódy typu webshell a backdoor. V niektorých prípadoch zacielili viaceré skupiny na tú istú organizáciu.

Medzi odhalených aktérov patria tieto skupiny a útoky:

  • Tick má na svedomí skompromitovanie webových serverov IT spoločnosti so sídlom vo východnej Ázii. Tak ako v prípade LuckyMouse a Calypso, mala aj táto skupina pravdepodobne prístup k zraniteľnostiam ešte pred vydaním záplat.
  • LuckyMouse skompromitovala mailový server vládnej organizácie na Blízkom východe. Táto APT skupina mala pravdepodobne prístup k zraniteľnostiam najmenej jeden deň pred vydaním záplat.
  • Calypso zacielila na mailové servery vládnych inštitúcií na Blízkom východe a v Južnej Amerike. Hackerské zoskupenie malo pravdepodobne prístup k chybám ešte v štádiu zero day. Počas nasledujúcich dní členovia Calypso útočili na ďalšie vládne a firemné servery v Afrike, Ázii a Európe.
  • Websiic zaútočil na sedem mailových serverov, ktoré patria súkromným IT, telekomunikačným a inžinierskym spoločnostiam v Ázii a vládnej inštitúcii vo východnej Európe. ESET pomenoval tento útok ako Websiic a zatiaľ sa ho nepodarilo priradiť ku konkrétnym útočníkom.
  • Winnti Group skompromitovala mailové servery ropnej a strojárenskej spoločnosti v Ázii. Aj toto zoskupenie malo pravdepodobne prístup k zraniteľnostiam ešte pred vydaním aktualizácií.
  • Tonto Team skompromitoval mailové servery obstarávacej spoločnosti a poradenskej firmy, ktorá sa špecializuje na softvérový vývoj a kybernetickú bezpečnosť. Obe zasiahnuté organizácie sídlia vo východnej Európe.
  • Aktivita ShadowPad skompromitovala servery spoločnosti vyvíjajúcej softvér v Ázii a realitnej spoločnosti na Blízkom východe. ESET odhalil odnož ShadowPad backdooru vypustenú neznámou skupinou.
  • The “Opera” Cobalt Strike – tento útok cielil na približne 650 serverov prevažne v USA, Nemecku, Spojenom kráľovstve a ostatných európskych krajinách iba niekoľko hodín po zverejnení záplat.
  • IIS backdoory nainštalované cez webshelly boli použité na kompromitovanie štyroch mailových serverov v Ázii a Južnej Amerike. Jeden z backdoorov je verejne známy ako Owlproxy.
  • Mikroceen skompromitoval server dodávateľa verejnej služby v strednej Ázii, kde táto skupina typicky útočí.
  • DLTMiner – ESET zachytil nasadenie PowerShell downloadoerov na viacerých mailových serveroch, ktoré boli pred tým napadnuté cez Exchange zraniteľnosti. Sieťová infraštruktúra použitá pri tomto útoku sa spája s medializovanou operáciou ťaženia kryptomien.

„Je najvyšší čas čo najrýchlejšie zaplátať všetky Exchange servery. Zaplátané by mali byť dokonca aj tie, ktoré nie sú priamo pripojené k internetu. V prípade skompromitovania by mali administrátori odstrániť webshelly, zmeniť prístupové údaje a prešetriť každú ďalšiu podozrivú aktivitu. Tento incident je veľmi dobrým príkladom toho, prečo by komplexné riešenia ako Microsoft Exchange alebo SharePoint nemali byť otvorené internetu,“ dodal Matthieu Faou.

Viac technických informácií o zneužití zraniteľností serverov Exchange si môžete prečítať v článku na stránke WeLiveSecurity.

O spoločnosti ESET

Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.