5.000 を超えるハッカー グループが、Microsoft Exchange のセキュリティ ギャップに飛びつきます。 ESET はすでに XNUMX を超える感染した電子メール サーバーを特定しており、そのほとんどがドイツにあります。
最近公開された Microsoft Exchange の脆弱性は、ますます多くの波を起こしています。 IT セキュリティ メーカー ESET の研究者は、5.000 を超えるさまざまな APT グループ (Advanced Persistent Threats) を発見しました。これらのグループは現在、電子メール サーバーを侵害して会社のデータにアクセスするために脆弱性をますます悪用しています。 そのため、以前考えられていたように、脅威は中国のハフニウム グループに限定されません。 ESET は、侵害された世界中の約 XNUMX の企業および政府の電子メール サーバーを特定しました。 ハッカー グループの標的のほとんどはドイツにあります。 セキュリティ専門家のテレメトリは、いわゆる Web シェルの存在を示しました。 これらの悪意のあるプログラムまたはスクリプトにより、Web ブラウザーを介してサーバーをリモート制御できます。 IT エキスパートは、ESET セキュリティ ブログ welivesecurity.de で詳細な分析を公開しています。
アップデートはすでに展開されています
ESET は即座に対応し、企業向けのセキュリティ ソリューションで使用されている攻撃ベクトルと悪意のある機能の分析をアップデートを通じて公開しました。 エクスプロイトが知られる前でさえ、ランサムウェアなどの悪意のあるコードの実行は、ESET B2B ソリューションの多層技術によって検出されていたでしょう。 ESET B2B ソリューションは、既知のエクスプロイトに基づく Web シェルやバックドアなどのマルウェア攻撃も検出します。 これに関係なく、Microsoft が提供するセキュリティ更新プログラムのインストールは必須です。
早期警報システムの使用を推奨
いわゆるエンドポイント検出および応答ソリューション (EDR ソリューション) を使用することで、多くの場合、企業データの盗難を制限または防止できた可能性があります。 「ESET Enterprise Inspector などの EDR ソリューションの助けを借りて、管理者は早い段階で疑わしいアクティビティに気付くことができたでしょう。 このように、企業データの流出は、セキュリティ ギャップを悪用したにもかかわらず、適切な手段によって防止するために、早い段階で登録された可能性があります」と、ESET ドイツのセキュリティ ビジネス戦略マネージャーである Michael Schröder 氏は説明します。
セキュリティ体制を評価するには、Exchange サーバーで次の検出を確認する必要があります。
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/ウェブシェル
- ASP/リジョージ
ESETの分析により、サイバースパイグループが明らかに
「Microsoft が Exchange のパッチをリリースした日以来、Exchange サーバーを大規模にスキャンして侵害するハッカーがますます増えています。 興味深いことに、これらはすべてスパイ活動で悪名高い APT グループです。 ランサムウェア オペレーターなどの他のグループも、これらのエクスプロイトを悪用して、すぐに参加すると確信しています」と、このトピックに関する ESET の調査を率いる Matthieu Faou 氏は述べています。 ESET の研究者は、一部の APT グループが、パッチが利用可能になる前にすでに脆弱性を悪用していたことも発見しました。 「したがって、これらのグループが Microsoft の更新プログラムをリバース エンジニアリングすることでエクスプロイトを作成した可能性を排除できます」と Faou 氏は付け加えます。
管理者向けの XNUMX つの簡単な Exchange のヒント
- Exchange サーバーには、できるだけ早くパッチを適用する必要があります。 これは、インターネットに直接接続されていない場合にも当てはまります。
- 管理者は、Webshell やその他の悪意のあるアクティビティを確認し、すぐに削除することをお勧めします。
- ログインの詳細はすぐに変更する必要があります。
「この事件は、Microsoft Exchange や SharePoint などの複雑なアプリケーションをインターネットに公開してはならないことを思い出させてくれます」と Matthieu Faou 氏はアドバイスしています。
標的型攻撃グループとその行動パターン
- ダニ – IT サービスを提供する東アジアを拠点とする企業の Web サーバーが侵害されました。 LuckyMouse と Calypso の場合と同様に、グループはパッチがリリースされる前にエクスプロイトにアクセスできた可能性があります。
- ラッキーマウス - 中東の政府機関の電子メール サーバーに感染しました。 この APT グループは、パッチがリリースされる少なくとも XNUMX 日前、まだゼロデイだった頃にエクスプロイトを行っていた可能性があります。
- カリプソ - 中東および南米の政府機関の電子メール サーバーを攻撃しました。 このグループは、エクスプロイトへのゼロデイ アクセスを持っていた可能性があります。 その後数日間、Calypso オペレーターはアフリカ、アジア、ヨーロッパの他の政府や企業のサーバーを攻撃しました。
- ウェブシック - アジアの企業 (IT、テレコム、エンジニアリング部門) と東ヨーロッパの政府機関が所有する XNUMX つの電子メール サーバーを標的にしました。
- Winntiグループ - アジアの石油会社と建設機械会社の電子メール サーバーが侵害されました。 このグループは、パッチがリリースされる前にエクスプロイトにアクセスできた可能性があります。
- とんとチーム – どちらも東ヨーロッパに拠点を置く、ソフトウェア開発とサイバーセキュリティを専門とする調達会社とコンサルティング会社の電子メール サーバーを攻撃しました。
- ShadowPad アクティビティ - アジアを拠点とするソフトウェア開発会社と中東を拠点とする不動産会社の電子メール サーバーに感染しました。 ESET は、未知のグループによって注入された ShadowPad バックドアの亜種を発見しました。
- 「オペレーション」コバルトストライク –パッチがリリースされてからわずか数時間後に、主に米国、ドイツ、英国、およびその他のヨーロッパ諸国の約650台のサーバーを標的にしました.
- IIS バックドア - ESET は、これらの侵害で使用された Web シェルを介して、アジアと南アメリカの XNUMX つの電子メール サーバーに IIS バックドアがインストールされていることを確認しました。 バックドアの XNUMX つは、Owlproxy として一般に知られています。
- ミクロセア - 中央アジアにある公益事業会社の Exchange サーバーが侵害されました。中央アジアは、このグループが通常標的とする地域です。
- DLTMiner - ESET は、以前に Exchange の脆弱性を介して攻撃された複数の電子メール サーバーで PowerShell ダウンローダーが使用されていることを発見しました。 この攻撃で使用されたネットワーク インフラストラクチャは、以前に報告されたコイン マイニング キャンペーンに関連しています。
背景
2013 月初旬、Microsoft は Exchange Server 2016、2019、および XNUMX 向けのパッチをリリースしました。これは、認証前のリモート コード実行 (RCE) の脆弱性に対処するものです。 この脆弱性により、攻撃者は有効な資格情報を知らなくても到達可能な Exchange サーバーを乗っ取ることができるため、インターネットに直接接続されている Exchange サーバーが特に脆弱になります。
詳細については、ESET.com の WeLiveSecurity をご覧ください。
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。