एक्सचेंज भेद्यता पर 10 हैकर समूह उछाल

Microsoft Exchange सुरक्षा अंतराल पर दस से अधिक हैकर समूह झपटते हैं। ईएसईटी ने पहले ही जर्मनी में 5.000 से अधिक संक्रमित ईमेल सर्वरों की पहचान की है।

Microsoft Exchange में हाल ही में बनी सार्वजनिक भेद्यताएँ अधिक से अधिक तरंगें बना रही हैं। आईटी सुरक्षा निर्माता ईएसईटी के शोधकर्ताओं ने दस से अधिक विभिन्न एपीटी समूहों (एडवांस परसिस्टेंट थ्रेट्स) की खोज की, जो वर्तमान में ई-मेल सर्वरों से समझौता करने और कंपनी डेटा तक पहुंच प्राप्त करने के लिए कमजोरियों का तेजी से शोषण कर रहे हैं। तो खतरा चीनी हेफ़नियम समूह तक ही सीमित नहीं है, जैसा कि पहले सोचा गया था। ईएसईटी ने दुनिया भर में लगभग 5.000 कॉर्पोरेट और सरकारी ईमेल सर्वरों की पहचान की है, जिनके साथ समझौता किया गया था। हैकर ग्रुप के ज्यादातर निशाने पर जर्मनी हैं। सुरक्षा विशेषज्ञों की टेलीमेट्री ने तथाकथित वेब गोले की उपस्थिति दिखाई। ये दुर्भावनापूर्ण प्रोग्राम या स्क्रिप्ट वेब ब्राउज़र के माध्यम से सर्वर के रिमोट कंट्रोल की अनुमति देते हैं। IT विशेषज्ञ ESET सुरक्षा ब्लॉग welivesecurity.de पर एक विस्तृत विश्लेषण प्रकाशित करते हैं।

अपडेट पहले ही रोल आउट कर दिए गए हैं

ESET ने तुरंत प्रतिक्रिया दी और अपडेट के माध्यम से कंपनियों के लिए अपने सुरक्षा समाधानों में उपयोग किए जाने वाले अटैक वैक्टर और दुर्भावनापूर्ण कार्यात्मकताओं के विश्लेषण को रोल आउट किया। शोषण के बारे में पता चलने से पहले ही, ESET B2B समाधानों की बहुस्तरीय तकनीक द्वारा रैनसमवेयर जैसे दुर्भावनापूर्ण कोड के निष्पादन का पता लगा लिया गया होगा। ESET B2B समाधान वेब शेल और बैकडोर जैसे मालवेयर हमलों का भी पता लगाते हैं जो ज्ञात कारनामों पर आधारित होते हैं। इसके बावजूद, Microsoft द्वारा प्रदान किए गए सुरक्षा अद्यतनों की स्थापना अनिवार्य है।

पूर्व चेतावनी प्रणाली के उपयोग की सिफारिश की गई है

तथाकथित समापन बिंदु का पता लगाने और प्रतिक्रिया समाधान (ईडीआर समाधान) का उपयोग कई मामलों में कंपनी डेटा की चोरी को सीमित या रोक सकता था। "ईडीआर समाधानों की मदद से, जैसे ईएसईटी एंटरप्राइज़ इंस्पेक्टर, प्रशासकों को प्रारंभिक चरण में संदिग्ध गतिविधि के बारे में जागरूक किया गया होगा। इस तरह, उचित उपायों के माध्यम से इसे रोकने के लिए, सुरक्षा अंतराल के शोषण के बावजूद, कंपनी डेटा का बहिर्वाह एक प्रारंभिक चरण में दर्ज किया जा सकता था," ईएसईटी जर्मनी में सुरक्षा व्यवसाय रणनीति प्रबंधक माइकल श्रोडर बताते हैं।

सुरक्षा मुद्रा का आकलन करने के लिए, एक्सचेंज सर्वरों को निम्नलिखित पहचानों के लिए जांचना चाहिए:

• जेएस/एक्सप्लॉइट.सीवीई-2021-26855.वेबशेल.ए
• जेएस/एक्सप्लॉइट.सीवीई-2021-26855.वेबशेल.बी
• एएसपी/वेबशेल
• एएसपी/रेजॉर्ग

 

ईएसईटी विश्लेषण से साइबर जासूसी समूहों का पता चलता है

“जिस दिन से Microsoft ने एक्सचेंज पैच जारी किए हैं, हमने अधिक से अधिक हैकर्स को बड़े पैमाने पर स्कैन और एक्सचेंज सर्वर से समझौता करते देखा है। दिलचस्प बात यह है कि ये सभी एपीटी समूह जासूसी गतिविधियों के लिए कुख्यात हैं। हमें यकीन है कि अन्य समूह, जैसे कि रैंसमवेयर ऑपरेटर, भी इन कारनामों का फायदा उठाएंगे और बोर्ड पर कूदेंगे," इस विषय पर ईएसईटी के शोध का नेतृत्व करने वाले मैथ्यू फाउ कहते हैं। ईएसईटी के शोधकर्ताओं ने यह भी पाया कि कुछ एपीटी समूह पैच उपलब्ध कराने से पहले ही कमजोरियों का फायदा उठा रहे थे। "इसलिए हम इस बात से इंकार कर सकते हैं कि इन समूहों ने रिवर्स इंजीनियरिंग माइक्रोसॉफ्ट अपडेट्स द्वारा एक शोषण बनाया है," फाउ कहते हैं।

व्यवस्थापकों के लिए तीन त्वरित एक्सचेंज युक्तियाँ

• एक्सचेंज सर्वर को जल्द से जल्द पैच किया जाना चाहिए। यह तब भी लागू होता है जब वे सीधे इंटरनेट से कनेक्ट नहीं होते हैं।
• प्रशासकों को सलाह दी जाती है कि वेबशेल्स और अन्य दुर्भावनापूर्ण गतिविधियों की जांच करें और उन्हें तुरंत हटा दें।
• लॉगिन विवरण तुरंत बदला जाना चाहिए।

"घटना एक बहुत अच्छा अनुस्मारक है कि Microsoft एक्सचेंज या SharePoint जैसे जटिल अनुप्रयोगों को इंटरनेट के लिए खुला नहीं होना चाहिए," मैथ्यू फाउ ने सलाह दी।

APT समूह और उनके व्यवहार पैटर्न

• टिक - आईटी सेवाएं प्रदान करने वाली पूर्वी एशिया की एक कंपनी के वेब सर्वर से समझौता किया। जैसा कि लकीमाउस और कैलीप्सो के मामले में, पैच जारी होने से पहले समूह के पास एक शोषण तक पहुंच थी।
• भाग्यशाली व्यक्ति - मध्य पूर्व में एक सरकारी एजेंसी के ईमेल सर्वर को संक्रमित किया। पैच जारी होने से कम से कम एक दिन पहले इस एपीटी समूह ने शायद एक शोषण किया था जब यह अभी भी शून्य-दिन था।
• केलिप्सो - मध्य पूर्व और दक्षिण अमेरिका में सरकारी एजेंसियों के ई-मेल सर्वर पर हमला किया। समूह के पास शोषण के लिए शून्य-दिन की पहुंच थी। इसके बाद के दिनों में, कैलिप्सो संचालकों ने अफ्रीका, एशिया और यूरोप में अन्य सरकारी और कॉर्पोरेट सर्वरों पर हमला किया।
• web - एशिया में कंपनियों (आईटी, दूरसंचार और इंजीनियरिंग क्षेत्रों में) और पूर्वी यूरोप में एक सरकारी इकाई के स्वामित्व वाले सात ईमेल सर्वरों को लक्षित किया।
• विन्ती समूह - एशिया में एक तेल कंपनी और एक निर्माण मशीनरी कंपनी के ईमेल सर्वर से समझौता किया। पैच जारी होने से पहले समूह के पास संभावित रूप से एक शोषण तक पहुंच थी।
• टोंटो टीम - पूर्वी यूरोप में स्थित एक खरीद कंपनी और सॉफ्टवेयर विकास और साइबर सुरक्षा में विशेषज्ञता रखने वाली एक परामर्श फर्म के ईमेल सर्वर पर हमला किया।
• शैडोपैड गतिविधि - एशिया में स्थित एक सॉफ्टवेयर डेवलपमेंट कंपनी और मध्य पूर्व में स्थित एक रियल एस्टेट कंपनी के ईमेल सर्वरों को संक्रमित किया। ESET ने एक अज्ञात समूह द्वारा इंजेक्ट किए गए शैडोपैड बैकडोर के एक प्रकार की खोज की।
• "ऑपरेशन" कोबाल्ट स्ट्राइक - पैच जारी होने के कुछ ही घंटों बाद लगभग 650 सर्वरों को लक्षित किया गया, ज्यादातर अमेरिका, जर्मनी, यूके और अन्य यूरोपीय देशों में।
• आईआईएस पिछले दरवाजे - ईएसईटी ने इन उल्लंघनों में उपयोग किए गए वेबशेल्स के माध्यम से एशिया और दक्षिण अमेरिका में चार ईमेल सर्वरों पर स्थापित आईआईएस बैकडोर का अवलोकन किया। बैकडोर में से एक को सार्वजनिक रूप से उल्लूप्रॉक्सी के रूप में जाना जाता है।
• microcea - मध्य एशिया में एक यूटिलिटी कंपनी के एक्सचेंज सर्वर से छेड़छाड़ की गई, जो इस समूह द्वारा विशिष्ट रूप से लक्षित क्षेत्र है।
• डीएलटीमाइनर - ईएसईटी ने एक्सचेंज भेद्यताओं के माध्यम से पहले से हमला किए गए कई ईमेल सर्वरों पर पावरशेल डाउनलोडर्स के उपयोग की खोज की। इस हमले में इस्तेमाल किया गया नेटवर्क इंफ्रास्ट्रक्चर पहले बताए गए सिक्का खनन अभियान से जुड़ा हुआ है।

पृष्ठभूमि

मार्च की शुरुआत में, Microsoft ने एक्सचेंज सर्वर 2013, 2016 और 2019 के लिए पैच जारी किए जो प्रमाणीकरण से पहले कई रिमोट कोड एक्ज़ीक्यूशन (RCE) भेद्यता को संबोधित करते हैं। भेद्यता एक हमलावर को किसी भी पहुंच योग्य एक्सचेंज सर्वर को वैध क्रेडेंशियल जानने के बिना लेने की अनुमति देती है, जिससे इंटरनेट-फेसिंग एक्सचेंज सर्वर विशेष रूप से कमजोर हो जाते हैं।

ESET.com पर WeLiveSecurity पर और जानें

 

---

ईएसईटी के बारे में

ESET एक यूरोपीय कंपनी है जिसका मुख्यालय ब्रातिस्लावा (स्लोवाकिया) में है। 1987 से, ईएसईटी पुरस्कार विजेता सुरक्षा सॉफ्टवेयर विकसित कर रहा है जिसने पहले ही 100 मिलियन से अधिक उपयोगकर्ताओं को सुरक्षित तकनीकों का आनंद लेने में मदद की है। सुरक्षा उत्पादों के व्यापक पोर्टफोलियो में सभी प्रमुख प्लेटफॉर्म शामिल हैं और दुनिया भर में व्यवसायों और उपभोक्ताओं को प्रदर्शन और सक्रिय सुरक्षा के बीच सही संतुलन प्रदान करता है। जेना, सैन डिएगो, सिंगापुर और ब्यूनस आयर्स में 180 से अधिक देशों और कार्यालयों में कंपनी का वैश्विक बिक्री नेटवर्क है। अधिक जानकारी के लिए www.eset.de पर जाएं या हमें LinkedIn, Facebook और Twitter पर फ़ॉलो करें।

---

 

विषय से संबंधित लेख