Több ezer levelezőszerver a kiberbűnözők ostroma alatt
2021 / 03 / 22 / Perei Dóra
Több ezer levelezőszerver a kiberbűnözők ostroma alatt
Az ESET kutatói több mint tíz különféle Advanced Persistent Threat (APT), vagyis fejlett és tartós fenyegetést jelentő csoportról számoltak be, akik a legújabb Microsoft Exchange biztonsági réseit használják ki a levelezőszerverek támadásához. Az ESET több mint ötezer olyan levelezőszervert azonosított, melyek érintettek ebben a kártékony tevékenységben. A támadások vállalkozások és kormányzatok szervereit érintik világszerte – köztük több olyan nagynevű szervezettel, mint például az Európai Bankhatóság. Ebből következik, hogy a fenyegetés nem korlátozódik a Microsoft által korábban jelentett Hafnium csoportra.

Március elején a Microsoft biztonsági javításokat tett közzé az Exchange Server 2013, 2016 és 2019 programokhoz, hogy kiküszöböljenek egy sor, az előzetes hitelesítésre és távoli kódfuttatásra (remote code execution, RCE) vonatkozó biztonsági rést. Ezek a biztonsági rések lehetővé teszik a támadók számára, hogy átvegyék az elérhető Exchange-szerverek feletti hatalmat, érvényes fiók-hitelesítő adatok nélkül – ami különösen sebezhetővé teszi az internethez kapcsolódó Exchange-szervereket.

„A biztonsági javítások közzététele utáni napon a korábbinál sokkal több fenyegetésre figyeltünk fel, amelyek tömeges mértékben támadták az Exchange szervereket".

Érdekes módon mindegyikük kémkedésre szakosodott APT-csoport, kivéve egyet, ami a jelek szerint egy ismert kriptobányászati ​​tevékenységgel áll összefüggésben. Elkerülhetetlen, hogy előbb-utóbb még több fenyegetés, köztük zsarolóvírussal támadó csoportok is hozzáférjenek ezekhez a sebezhetőséget kihasználó exploitokhoz” - magyarázta Matthieu Faou, az Exchange sebezhetőségi láncát vizsgáló ESET-kutatás vezetője. Az ESET kutatói megfigyelték, hogy néhány APT-csoport még a javítások kiadása előtt elkezdte kihasználni a sebezhetőségeket. „Ez alapján elvethetjük annak lehetőségét, hogy ezek a csoportok a Microsoft frissítések kódjainak visszafejtésével hoztak létre egy exploitot” – tette hozzá Faou.

Félmilliárd facebookozó telefonszáma eladó a dark weben Darabja húsz dollár, ha többet veszünk, a bűnözők még kedvezményt is adnak.

Az ESET telemetriája több mint száztizenöt ország több mint ötezer egyedi szerverén észlelt webshell kódokat, vagyis olyan rosszindulatú programokat vagy szkripteket, amelyek lehetővé teszik a szerver távoli vezérlését a böngészőn keresztül. Az ESET több mint tíz különböző kiberbűnözői csoportot azonosított, amelyek vélhetően úgy használják ki a közelmúltban közzétett Microsoft Exchange RCE biztonsági réseket, hogy rosszindulatú programokat, például webshell kódokat és hátsó ajtókat telepítenek az áldozatok levelezőszervereire. Néhány esetben egyszerre több csoport is megtámadta ugyanazt a szervezetet.

Íme a beazonosított kiberbűnözői csoportok és viselkedési mintáik:

  • Tick – kompromittálta egy IT-szolgáltatásokat nyújtó kelet-ázsiai székhelyű vállalat webszerverét. A LuckyMouse és a Calypso esetéhez hasonlóan a csoport valószínűleg még a biztonsági javítások kiadása előtt hozzáfért egy exploithoz.
  • LuckyMouse – kompromittálta egy közel-keleti kormányzati szerv levelezőszerverét. Az APT-csoport valószínűleg már a nulladik napon, legalább egy nappal a javítások közzététele előtt használt egy expoitot.
  • Calypso – kormányzati levelezőszervereket kompromittált a Közel-Keleten és Dél-Amerikában. A csoport valószínűleg már a nulladik napon hozzáfért az exploithoz. A rákövetkező napokban a Calypso üzemeltetői további kormányzati szervezetek és magánvállalkozások szervereit célozták meg Afrikában, Ázsiában és Európában.
  • Websiic – hét magánszférában lévő vállalat levelezőszerverét támadta meg Ázsiában (IT, telekommunikáció és mérnöki területeken) és egy kormányzati szervet Kelet-Európában. Az ESET Websiic névre keresztelte az új tevékenységcsoportot.
  • Winnti Group – kompromittálta egy olajipari vállalat és egy építőipari gépeket gyártó vállalat levelezőszervereit Ázsiában. A csoport valószínűleg még a javítások közzététele előtt hozzáfért egy exploithoz.
  • Tonto Team – kompromittálta egy beszerzési vállalat, illetve egy szoftverfejlesztésre és kiberbiztonságra szakosodott tanácsadó cég levelezőszervereit Kelet-Európában.
  •  ShadowPad activity – kompromittálta egy ázsiai székhelyű szoftverfejlesztő cég és egy közel-keleti székhelyű ingatlancég levelezőszervereit. Az ESET észlelte a ShadowPad hátsó ajtók egyik variánsát, amit egy ismeretlen csoport hozott létre.
  • The “Opera” Cobalt Strike – körülbelül hatszázötven szervert támadott meg, főleg az Egyesült Államokban, Németországban, az Egyesült Királyságban és más európai országokban, mindössze néhány órával a javítások közzététele után.
  • IIS backdoors – Az ESET webhéjakon keresztül telepített IIS hátsó ajtókat észlelt négy, Ázsiában és Dél-Amerikában található levelezőszerveren. Az egyik hátsó ajtó Owlproxy néven ismert.
  • Mikroceen – kompromittálta egy közüzemi vállalat levelezőrendszerét Közép-Ázsiában, a csoport által leginkább célzott régióban.
  • DLTMiner – Az ESET több olyan levelezőszerveren észlelte a PowerShell letöltők telepítését, amelyeket korábban az Exchange biztonsági rések kihasználásával támadtak. A támadásban használt hálózati infrastruktúra egy korábban jelentett kriptobányászati ​​tevékenységhez kapcsolódik.

Vakcina féláron, adócsalás, hamis webshopok: az öt leggyakoribb netes átverés, amire érdemes odafigyelnünk 2021 átverései a vakcinával kapcsolatosak, tömeges terjedésük miatt az Interpol és az Europol is riasztást adott ki.

„Nyilvánvalóvá vált, hogy haladéktalanul meg kell kezdeni az összes Exchange-kiszolgáló javítását. Ez még azokra a szerverekre is érvényes, amelyek nem kapcsolódnak közvetlenül az internethez. Kompromittálódás esetén a rendszergazdák feladata a webshell kódok eltávolítása, a hitelesítő adatok módosítása és a teljes átvizsgálás az esetleges további rosszindulatú tevékenységek felfedezése érdekében. Ez az eset nagyon jó emlékeztető arra, hogy

az olyan összetett alkalmazásoknak, mint a Microsoft Exchange vagy a SharePoint, nem szabadna védtelenül állniuk az internet előtt” – nyilatkozta Faou.

Az Exchange sebezhetőségét célzó támadások technikai részletei a WeLiveSecurity Exchange servers under siege from at least 10 APT groups című blogposztjában olvashatók.

(Forrás, szerző: ESET, Fotó:

További cikkek a témában:

Jövőre tovább nő a zsarolóvírusok száma a kibervédelmi előrejelzések szerint 2021-ben is egyre több zsarolóprogrammal és fájl-nélküli kártevővel kell majd szembenéznie a vállalkozásoknak és az egyéni felhasználóknak, de az okoseszközök fejlődésével a biztonsági kockázatok a magánéletünk egyre intimebb területein is jelen lesznek.

Még nincs vége az elmúlt évek legpusztítóbb hackertámadásának A Microsoft elnöke közölte: az oroszoknak tulajdonított akció negyven áldozatát azonosították eddig.

Hamarosan a kibertér lehet a bűnözés elsődleges terepe Különleges helyzetekben a büntetőjog szerepe felerősödik, a COVID-19 pedig alaposan felforgatta a magyar társadalmat. Ambrus István március végén tanulmányban foglalkozott a koronavírus-járvány és a büntetőjog kapcsolatával. De milyen kérdésekkel kellett azóta szembenéznie a büntetőjogász szakmának? És mi várható a járványhelyzet elmúltával?


Kövesd a Rakétát a Facebookon is!
Kövess, üzenj, kommentelj a Rakéta Facebook oldalán!
Ismerd meg a ROADSTER magazint!
AUTÓK - DESIGN - GASZTRO - KULT - UTAZÁS - TECH // Ha szereted a minőséget az életed minden területén, páratlan élmény lesz!
Ezek is érdekelhetnek
HELLO, EZ ITT A
RAKÉTA
Kövess minket a Facebookon!
A jövő legizgalmasabb cikkeit találod nálunk!

Hírlevél feliratkozás

Ne maradj le a jövőről! Iratkozz fel a hírlevelünkre, és minden héten elküldjük neked a legfrissebb és legérdekesebb híreket a technológia és a tudomány világából.