Більше десяти хакерських груп атакують прогалини в системі безпеки Microsoft Exchange. ESET вже виявила понад 5.000 заражених серверів електронної пошти, переважно в Німеччині.
Нещодавно оприлюднені вразливості в Microsoft Exchange викликають дедалі більше хвилі. Дослідники виробника ІТ-безпеки ESET виявили більше десяти різних груп APT (Advanced Persistent Threats), які наразі все частіше використовують уразливості, щоб зламати сервери електронної пошти та отримати доступ до даних компанії. Отже, загроза не обмежується китайською групою гафнію, як вважалося раніше. ESET виявила близько 5.000 корпоративних і урядових серверів електронної пошти по всьому світу, які були зламані. Більшість цілей хакерських груп знаходяться в Німеччині. Телеметрія експертів з безпеки показала наявність так званих веб-оболонок. Ці шкідливі програми або сценарії дозволяють дистанційно керувати сервером через веб-браузер. ІТ-експерти публікують детальний аналіз у блозі безпеки ESET welivesecurity.de.
Оновлення вже випущено
ESET миттєво відреагувала та випустила свій аналіз векторів атак і шкідливих функцій, які використовуються в її рішеннях безпеки для компаній через оновлення. Ще до того, як про експлойт стало відомо, виконання шкідливого коду, наприклад програм-вимагачів, було б виявлено багаторівневою технологією рішень ESET B2B. Рішення ESET B2B також виявляють атаки зловмисного програмного забезпечення, наприклад веб-оболонки та бекдори, засновані на відомих експлойтах. Незалежно від цього, встановлення оновлень безпеки, наданих Microsoft, є обов’язковим.
Рекомендується використовувати системи раннього попередження
Використання так званих рішень для виявлення та реагування на кінцеві точки (рішення EDR) у багатьох випадках могло б обмежити або запобігти крадіжці даних компанії. «За допомогою рішень EDR, таких як ESET Enterprise Inspector, адміністратори були б повідомлені про підозрілу активність на ранній стадії. Таким чином, відтік корпоративних даних можна було зареєструвати на ранній стадії, незважаючи на використання прогалини в безпеці, щоб запобігти цьому за допомогою відповідних заходів», — пояснює Міхаель Шредер, менеджер із бізнес-стратегії безпеки в ESET Germany.
Щоб оцінити стан безпеки, сервери Exchange слід перевірити на наявність таких виявлень:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Аналіз ESET виявив групи кібершпигунства
«З того дня, як Microsoft випустила патчі для Exchange, ми бачимо все більше і більше хакерів, які масово сканують і компрометують сервери Exchange. Цікаво, що всі ці групи APT сумно відомі своєю шпигунською діяльністю. Ми впевнені, що інші групи, такі як оператори програм-вимагачів, також скористаються цими експлойтами та підключаться до них», — каже Метьє Фау, керівник дослідження ESET на цю тему. Дослідники ESET також виявили, що деякі групи APT вже використовували вразливості ще до того, як виправлення стали доступними. «Тому ми можемо виключити, що ці групи створили експлойт шляхом зворотного проектування оновлень Microsoft», — додає Фау.
Три короткі поради щодо Exchange для адміністраторів
- Сервери Exchange повинні бути виправлені якомога швидше. Це також стосується випадків, коли вони не підключені безпосередньо до Інтернету.
- Адміністраторам рекомендується перевірити веб-оболонки та інші шкідливі дії та негайно видалити їх.
- Необхідно негайно змінити дані для входу.
«Інцидент є дуже хорошим нагадуванням про те, що складні програми, такі як Microsoft Exchange або SharePoint, не повинні бути відкритими для Інтернету», — радить Метьє Фау.
Групи APT та їх моделі поведінки
- Tick – зламано веб-сервер компанії зі Східної Азії, що надає ІТ-послуги. Як і у випадку з LuckyMouse і Calypso, група, ймовірно, мала доступ до експлойту до випуску патчів.
- LuckyMouse - заразив поштовий сервер урядової установи на Близькому Сході. Ймовірно, ця група APT мала експлойт принаймні за день до випуску патчів, коли ще був нульовий день.
- Каліпсо - атакували сервери електронної пошти державних установ Близького Сходу та Південної Америки. Ймовірно, група мала доступ до експлойту нульового дня. У наступні дні оператори Calypso атакували інші урядові та корпоративні сервери в Африці, Азії та Європі.
- websiic - Націлено на сім серверів електронної пошти, що належать компаніям (у секторах ІТ, телекомунікацій та машинобудування) в Азії та державній установі в Східній Європі.
- Група Winnti - зламано сервери електронної пошти нафтової компанії та компанії, що займається виробництвом будівельних машин в Азії. Ймовірно, група мала доступ до експлойту до випуску патчів.
- tonto команда – атакували сервери електронної пошти закупівельної компанії та консалтингової фірми, що спеціалізується на розробці програмного забезпечення та кібербезпеці, обидві розташовані у Східній Європі.
- Діяльність ShadowPad - заразив сервери електронної пошти компанії з розробки програмного забезпечення в Азії та компанії з нерухомості на Близькому Сході. ESET виявила варіант бекдора ShadowPad, який впровадила невідома група.
- Операція «Кобальтовий удар». – націлено на близько 650 серверів, переважно в США, Німеччині, Великобританії та інших європейських країнах, лише через кілька годин після випуску патчів.
- IIS бекдори - ESET помітила бекдори IIS, встановлені на чотирьох серверах електронної пошти в Азії та Південній Америці за допомогою веб-оболонок, використовуваних у цих зламах. Один із бекдорів широко відомий як Owlproxy.
- мікроцея - скомпрометовано сервер Exchange комунального підприємства в Центральній Азії, регіоні, який зазвичай є ціллю цієї групи.
- DLTMiner - ESET виявила використання завантажувачів PowerShell на кількох серверах електронної пошти, які раніше були атаковані через уразливості Exchange. Мережева інфраструктура, використана в цій атаці, пов’язана з кампанією майнінгу монет, про яку повідомлялося раніше.
Фон
На початку березня Microsoft випустила виправлення для Exchange Server 2013, 2016 і 2019, які усувають низку вразливостей Remote Code Execution (RCE) перед автентифікацією. Уразливості дозволяють зловмиснику заволодіти будь-яким доступним сервером Exchange, не знаючи дійсних облікових даних, що робить сервери Exchange, які виходять в Інтернет, особливо вразливими.
Дізнайтеся більше на WeLiveSecurity на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.