10 gruppi di hacker si avventano sulle vulnerabilità di Exchange

12. Marzo 2021
| Non ci sono commenti
10 gruppi di hacker si avventano sulle vulnerabilità di Exchange

Condividi post

Più di dieci gruppi di hacker si avventano sulle falle di sicurezza di Microsoft Exchange. ESET ha già identificato più di 5.000 server di posta elettronica infetti, principalmente in Germania.

Le vulnerabilità recentemente rese pubbliche in Microsoft Exchange stanno facendo sempre più scalpore. I ricercatori del produttore di sicurezza IT ESET hanno scoperto più di dieci diversi gruppi APT (Advanced Persistent Threats), che stanno attualmente sfruttando sempre più le vulnerabilità per compromettere i server di posta elettronica e ottenere l'accesso ai dati aziendali. Quindi la minaccia non è limitata al gruppo dell'afnio cinese, come si pensava in precedenza. ESET ha identificato circa 5.000 server di posta elettronica aziendali e governativi in ​​tutto il mondo che sono stati compromessi. La maggior parte degli obiettivi dei gruppi di hacker si trova in Germania. La telemetria degli esperti di sicurezza ha mostrato la presenza delle cosiddette web shell. Questi programmi o script dannosi consentono il controllo remoto di un server tramite un browser web. Gli esperti IT pubblicano un'analisi dettagliata sul blog ESET Security welivesecurity.de.

Aggiornamenti già implementati

ESET ha reagito immediatamente e ha implementato le sue analisi dei vettori di attacco e delle funzionalità dannose utilizzate nelle sue soluzioni di sicurezza per le aziende tramite aggiornamenti. Ancor prima che l'exploit diventasse noto, l'esecuzione di codice dannoso, come il ransomware, sarebbe stata rilevata dalla tecnologia a più livelli delle soluzioni ESET B2B. Le soluzioni ESET B2B rilevano anche attacchi di malware come web shell e backdoor basati sugli exploit noti. Indipendentemente da ciò, l'installazione degli aggiornamenti di sicurezza forniti da Microsoft è obbligatoria.

Si raccomanda l'uso di sistemi di allerta precoce

L'uso delle cosiddette soluzioni di rilevamento e risposta degli endpoint (soluzioni EDR) avrebbe potuto limitare o impedire il furto di dati aziendali in molti casi. “Con l'aiuto delle soluzioni EDR, come ESET Enterprise Inspector, gli amministratori sarebbero stati informati di attività sospette in una fase iniziale. In questo modo, il deflusso di dati aziendali avrebbe potuto essere registrato in una fase iniziale, nonostante lo sfruttamento del gap di sicurezza, al fine di prevenirlo attraverso misure adeguate", spiega Michael Schröder, Security Business Strategy Manager di ESET Germania.

Per valutare il livello di sicurezza, i server Exchange devono essere controllati per i seguenti rilevamenti:

  • JS/Exploit.CVE-2021-26855.Webshell.A
  • JS/Exploit.CVE-2021-26855.Webshell.B
  • ASP/WebShell
  • ASP/ReGeorg

 

L'analisi ESET rivela gruppi di spionaggio informatico

“Dal giorno in cui Microsoft ha rilasciato le patch di Exchange, abbiamo assistito a un numero sempre maggiore di hacker che effettuano scansioni di massa e compromettono i server Exchange. È interessante notare che questi sono tutti gruppi APT noti per attività di spionaggio. Siamo sicuri che anche altri gruppi, come gli operatori di ransomware, sfrutteranno questi exploit e saliranno a bordo", afferma Matthieu Faou, che guida la ricerca di ESET sull'argomento. I ricercatori ESET hanno anche scoperto che alcuni gruppi APT stavano già sfruttando le vulnerabilità prima che le patch fossero rese disponibili. "Possiamo quindi escludere che questi gruppi abbiano creato un exploit mediante il reverse engineering degli aggiornamenti Microsoft", aggiunge Faou.

Tre rapidi suggerimenti di Exchange per gli amministratori

  • I server di Exchange dovrebbero essere aggiornati il ​​prima possibile. Questo vale anche se non sono collegati direttamente a Internet.
  • Si consiglia agli amministratori di verificare la presenza di webshell e altre attività dannose e di rimuoverle immediatamente.
  • I dati di accesso devono essere modificati immediatamente.

"L'incidente è un ottimo promemoria del fatto che applicazioni complesse come Microsoft Exchange o SharePoint non dovrebbero essere aperte a Internet", consiglia Matthieu Faou.

Gruppi APT e loro modelli di comportamento

  • Spuntare – ha compromesso il server web di una società con sede in Asia orientale che fornisce servizi IT. Come nel caso di LuckyMouse e Calypso, il gruppo probabilmente ha avuto accesso a un exploit prima del rilascio delle patch.
  • Lucky Mouse - ha infettato il server di posta elettronica di un'agenzia governativa in Medio Oriente. Questo gruppo APT probabilmente ha avuto un exploit almeno un giorno prima che le patch venissero rilasciate quando era ancora un giorno zero.
  • Calypso - ha attaccato i server di posta elettronica delle agenzie governative in Medio Oriente e Sud America. Il gruppo probabilmente aveva accesso zero-day all'exploit. Nei giorni successivi, gli operatori di Calypso hanno attaccato altri server governativi e aziendali in Africa, Asia ed Europa.
  • websiic - Presi di mira sette server di posta elettronica di proprietà di società (nei settori IT, telecomunicazioni e ingegneria) in Asia e un ente governativo nell'Europa orientale.
  • Gruppo Winnti - ha compromesso i server di posta elettronica di una compagnia petrolifera e di un'azienda di macchinari per l'edilizia in Asia. Probabilmente il gruppo aveva accesso a un exploit prima che le patch venissero rilasciate.
  • tonto squadra – ha attaccato i server di posta elettronica di una società di approvvigionamento e di una società di consulenza specializzata nello sviluppo di software e nella sicurezza informatica, entrambe con sede nell'Europa orientale.
  • Attività ShadowPad - ha infettato i server di posta elettronica di una società di sviluppo software con sede in Asia e di una società immobiliare con sede in Medio Oriente. ESET ha scoperto una variante della backdoor ShadowPad iniettata da un gruppo sconosciuto.
  • "Operazione" Cobalt Strike – preso di mira circa 650 server, principalmente negli Stati Uniti, Germania, Regno Unito e altri paesi europei, poche ore dopo il rilascio delle patch.
  • Backdoor di IIS - ESET ha osservato le backdoor IIS installate su quattro server di posta elettronica in Asia e Sud America tramite le webshell utilizzate in queste violazioni. Una delle backdoor è pubblicamente nota come Owlproxy.
  • microcea - ha compromesso il server Exchange di una società di servizi pubblici in Asia centrale, una regione tipicamente presa di mira da questo gruppo.
  • DLTMiner - ESET ha scoperto l'uso dei downloader di PowerShell su diversi server di posta elettronica precedentemente attaccati tramite le vulnerabilità di Exchange. L'infrastruttura di rete utilizzata in questo attacco è collegata a una campagna di coin mining segnalata in precedenza.

Sfondo

All'inizio di marzo, Microsoft ha rilasciato patch per Exchange Server 2013, 2016 e 2019 che risolvono una serie di vulnerabilità Remote Code Execution (RCE) prima dell'autenticazione. Le vulnerabilità consentono a un utente malintenzionato di assumere il controllo di qualsiasi server Exchange raggiungibile senza dover conoscere credenziali valide, rendendo i server Exchange con connessione Internet particolarmente vulnerabili.

Scopri di più su WeLiveSecurity su ESET.com

 

Informazioni su ESET

ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

ESET, Messaggi PR
, , , , ,