10 Hacker-Gruppen stürzen sich auf Exchange Sicherheitslücken

10 Hacker-Gruppen stürzen sich auf Exchange Sicherheitslücken

Beitrag teilen

Mehr als zehn Hacker-Gruppen stürzen sich auf Microsoft Exchange Sicherheitslücken. ESET identifiziert bereits mehr 5.000 infizierte E-Mail-Server, vor allem in Deutschland.

Die kürzlich publik gemachten Sicherheitslücken in Microsoft Exchange schlagen immer höhere Wellen. So entdeckten die Forscher des IT-Sicherheits-Herstellers ESET mehr als zehn verschiedene APT-Gruppen (Advanced Persistent Threats), welche die Schwachstellen derzeit verstärkt ausnutzen, um E-Mail-Server zu kompromittieren und an Unternehmensdaten zu gelangen. Die Bedrohung ist also nicht auf die chinesische Hafnium-Gruppe beschränkt, wie bislang vermutet wurde. ESET identifizierte weltweit rund 5.000 E-Mail-Server von Unternehmen und Regierungseinrichtungen, die kompromittiert wurden. Die meisten Ziele der Hackergruppen liegen in Deutschland. Die Telemetrie der Security-Experten zeigte das Vorhandensein von sogenannten Webshells. Diese bösartigen Programme oder Skripte ermöglichen die Fernsteuerung eines Servers über einen Webbrowser. Eine genaue Analyse veröffentlichen die IT-Experten auf dem ESET Security Blog welivesecurity.de.

Updates bereits ausgerollt

ESET hat umgehend reagiert und seine Analysen der eingesetzten Angriffsvektoren und Schadfunktionalitäten per Updates in seine Sicherheitslösungen für Unternehmen ausgerollt. Bereits vor Bekanntwerden des Exploits wäre die Ausführung von Schadcode, wie z.B. Ransomware, durch die mehrschichtige Technologie der ESET B2B-Lösungen detektiert worden. So erkennen ESET B2B-Lösungen zudem Malware-Angriffe wie Webshells und Backdoors, die auf den bekanntgewordenen Exploits basieren. Die Installation der von Microsoft bereitgestellten Sicherheits-Updates ist davon ungeachtet zwingend erforderlich.

Einsatz von Frühwarnsystemen empfehlenswert

Der Einsatz sogenannter Endpoint Detection und Response Lösungen (EDR-Lösungen) hätte in vielen Fällen den Diebstahl von Unternehmensdaten eingrenzen bzw. verhindern können. „Mit Hilfe von EDR-Lösungen, wie beispielsweise ESET Enterprise Inspector, wären Administratoren frühzeitig auf verdächtige Aktivitäten aufmerksam gemacht worden. So hätte der Abfluss von Unternehmensdaten trotz Ausnutzung des Sicherheitslücke frühzeitig registriert werden können, um diesen durch entsprechende Maßnahmen zu unterbinden“, erklärt Michael Schröder, Security Business Strategy Manager bei ESET Deutschland.

Um den Sicherheitsstatus beurteilen zu können, sollten Exchange-Server auf die folgenden Erkennungen überprüft werden:

  • JS/Exploit.CVE-2021-26855.Webshell.A
  • JS/Exploit.CVE-2021-26855.Webshell.B
  • ASP/Webshell
  • ASP/ReGeorg

 

ESET-Analysen zeigen Cyberspionage-Gruppen auf

„Seit dem Tag der Veröffentlichung der Exchange-Patches durch Microsoft beobachteten wir, dass immer mehr Hacker massenhaft Exchange-Server scannen und kompromittieren. Interessanterweise handelt es sich dabei durchweg um APT-Gruppen, die für Spionagetätigkeiten berüchtigt sind. Wir sind uns sicher, dass auch andere Gruppen, beispielsweise Ransomware-Betreiber, diese Exploits für ihre Zwecke ausnutzen und auf den Zug aufspringen werden“, sagt Matthieu Faou, der die Forschungsarbeiten von ESET zu diesem Thema leitet. Die ESET-Forscher stellten ebenfalls fest, dass einige APT-Gruppen die Schwachstellen bereits ausnutzten, bevor die Patches zur Verfügung gestellt wurden. „Wir können daher ausschließen, dass diese Gruppen einen Exploit durch Reverse Engineering von Microsoft-Updates erstellt haben“, fügt Faou hinzu.

Drei schnelle Exchange-Tipps für Administratoren

  • ExchangeServer sollten so schnell es geht gepatcht werden. Dies gilt auch dann, wenn sie nicht direkt mit dem Internet verbunden sind.
  • Administratoren wird geraten, nach Webshells und weiteren bösartigen Aktivitäten zu suchen und diese umgehend zu entfernen.
  • Anmeldedaten sollten umgehend geändert werden.

„Der Vorfall ist eine sehr gute Erinnerung daran, dass komplexe Anwendungen wie Microsoft Exchange oder SharePoint nicht zum Internet hin offen sein sollten”, rät Matthieu Faou.

APT-Gruppen und ihre Verhaltensmuster

  • Tick – kompromittierte den Webserver eines Unternehmens mit Sitz in Ostasien, das IT-Dienstleistungen anbietet. Wie im Fall von LuckyMouse und Calypso hatte die Gruppe wahrscheinlich schon vor Veröffentlichung der Patches Zugang zu einem Exploit.
  • LuckyMouse – infizierte den E-Mail-Server einer Regierungsbehörde im Nahen Osten. Diese APT-Gruppe verfügte wahrscheinlich mindestens einen Tag vor Veröffentlichung der Patches über einen Exploit, als dieser noch ein Zero-Day war.
  • Calypso – griff die E-Mail-Server von Regierungsstellen im Nahen Osten und in Südamerika an. Die Gruppe hatte wahrscheinlich Zugang zu dem Exploit als Zero-Day. In den folgenden Tagen griffen die Calypso-Betreiber weitere Server von Regierungsstellen und Unternehmen in Afrika, Asien und Europa an.
  • Websiic – zielte auf sieben E-Mail-Server ab, die Unternehmen (in den Bereichen IT, Telekommunikation und Technik) in Asien und einer staatlichen Einrichtung in Osteuropa gehören.
  • Winnti Group – kompromittierte die E-Mail-Server eines Ölunternehmens und einer Firma für Baumaschinen in Asien. Die Gruppe hatte wahrscheinlich schon vor Veröffentlichung der Patches Zugang zu einem Exploit.
  • Tonto Team – attackierte die E-Mail-Server eines Beschaffungsunternehmens und eines auf Softwareentwicklung und Cybersicherheit spezialisierten Beratungsunternehmens, beide mit Sitz in Osteuropa.
  • ShadowPad activity – infizierte die E-Mail-Server eines Softwareentwicklungsunternehmens mit Sitz in Asien und eines Immobilienunternehmens mit Sitz im Nahen Osten. ESET entdeckte eine Variante der ShadowPad-Backdoor, die von einer unbekannten Gruppe eingeschleust wurde.
  • „Operation“ Cobalt Strike – zielte auf rund 650 Server, hauptsächlich in den USA, Deutschland, Großbritannien und anderen europäischen Ländern, nur wenige Stunden nach Veröffentlichung der Patches.
  • IIS-Backdoors – ESET beobachtete IIS-Backdoors, die über die bei diesen Kompromittierungen verwendeten Webshells auf vier E-Mail-Servern in Asien und Südamerika installiert wurden. Eine der Backdoors ist öffentlich als Owlproxy bekannt.
  • Mikroceen – kompromittierte den Exchange-Server eines Versorgungsunternehmens in Zentralasien, einer Region, die typischerweise Ziel dieser Gruppe ist.
  • DLTMiner – ESET entdeckte den Einsatz von PowerShell-Downloadern auf mehreren E-Mail-Servern, die zuvor über die Exchange-Schwachstellen angegriffen wurden. Die Netzwerkinfrastruktur, die bei diesem Angriff verwendet wurde, steht in Verbindung mit einer zuvor gemeldeten Coin-Mining-Kampagne.

Hintergrund

Anfang März hat Microsoft Patches für Exchange Server 2013, 2016 und 2019 veröffentlicht, die eine Reihe von Schwachstellen für Remotecodeausführung (RCE) vor der Authentifizierung beheben. Die Schwachstellen erlauben einem Angreifer, jeden erreichbaren Exchange-Server zu übernehmen, ohne dass er gültige Zugangsdaten kennen muss, was mit dem Internet verbundene Exchange-Server besonders anfällig macht.

Mehr dazu auf WeLiveSecurity bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Bedrohungen erkennen und abwehren

In der heutigen, durch Digitalisierung geprägten Unternehmenslandschaft erfordert der Kampf gegen Bedrohungen einen kontinuierlichen, proaktiven und ganzheitlichen Ansatz. Open Extended ➡ Weiterlesen

Cybergefahr Raspberry Robin

Ein führender Anbieter einer KI-gestützten, in der Cloud bereitgestellten Cyber-Sicherheitsplattform, warnt vor Raspberry Robin. Die Malware wurde erstmals im Jahr ➡ Weiterlesen

Backup für Microsoft 365 – neue Erweiterung

Eine einfache und flexible Backup-as-a-Service-(BaaS)-Lösung erweitert Datensicherungs- und Ransomware Recovery-Funktionalitäten für Microsoft 365. Dadurch verkürzen sich die Ausfallszeiten bei einem ➡ Weiterlesen

Cloud Sicherheit: Das ist 2024 wichtig

Einschneidende Ereignisse wie die Pandemie oder Kriege hatten die Fachkundigen in der Vergangenheit nicht auf dem Schirm. Ein Experte für ➡ Weiterlesen

Tipps für die Umsetzung der Richtlinie NIS2

Der richtige Einsatz von Cyber Security ist inzwischen wichtiger denn je. Aufgrund der zunehmenden Bedrohungen wächst das Angriffsrisiko stetig. Das ➡ Weiterlesen

Security Cloud Enterprise Edition als Managed Service

„Cyber Resilience as a Service“ ermöglicht Unternehmen jeder Größe beim MSP SVA Rubriks Portfolio für mehr Datensicherheit zu beziehen. Rubrik ➡ Weiterlesen

Unveränderlicher Speicher schützt vor Attacken

Eine Umfrage unter Cybersecurity-Experten aus Unternehmen mit mehr als 1.000 Mitarbeitern bestätigt, dass mit 46 Prozent fast die Hälfte der ➡ Weiterlesen

Globale Bedrohungen: Datenschutz für lokale Daten

Ransomware-Angriffe, Data Stealer-Attacken, Exploits für Schwachstellen: Auch wenn die Attacken global ablaufen, so zielen sie doch auf eine lokale, teile ➡ Weiterlesen