Luki w Microsoft Exchange umożliwiły atak na ponad 5 tysięcy serwerów

Wszystkie ataki miały miejsce w ubiegłym tygodniu, a brało w nich udział dziesięć różnych grup hakerskich APT. Głownym celem stały się serwery poczty e-mail.

Badacze ESET odkryli, że złośliwą aktywność zarejestrowano na ponad 5000 serwerów poczty e-mail. Należą one do różnego rodzaju organizacji - są to zarówno firmy prywatne, jak i organizacje rządowe. Microsoft zareagował błyskawicznie - udostępniła łatki dla Exchange Server 2013, 2016 i 2019. Ich wprowadzenie naprawiło szereg luk w zabezpieczeniach, pozwalających m.in. na zdalne wykonanie kodu (RCE), które umożliwia przejęcie podatnej wersji serwera Exchange bez konieczności znajomości jakichkolwiek istotnych danych logowania do konta. Matthieu Faou, który kieruje pracami badawczymi firmy ESET w zakresie ostatniego łańcucha luk w zabezpieczeniach Exchange, zauważa:

Co ciekawe, prawie wszystkie ataki zostały przeprowadzone przez grupy typu APT, które zajmują się głównie szpiegowaniem. Wyjątek stanowiła jedna grupa, która związana jest ze znaną kampanią wydobywania kryptowalut. Z pewnością przypadków wykorzystania luk z czasem będzie więcej i należy się spodziewać wzmożonej aktywności operatorów oprogramowania ransomware. Należy podkreślić, że wiele grup APT wykorzystywało luki w zabezpieczeniach na długo przed wydaniem łatek, co oznacza, żenie stworzyły exploita bazując na inżynierii wstecznej aktualizacji Microsoft

Luki w Microsoft Exchange umożliwiły atak na ponad 5 tysięcy serwerów

Odsetek rozpoznań webshell według kraju

Wzmożoną aktywność ataków odnotowano w szczególności w Stanach Zjednoczonych, Wielkiej Brytanii oraz Niemczech. Telemetria ESET zgłosiła obecność złośliwych programów lub skryptów, które umożliwiają zdalne sterowanie serwerem za pośrednictwem przeglądarki internetowej, na ponad 5000 serwerów rozmieszczonych w ponad 115 krajach. Badaczom udało się określić ponad 10 grup cyberprzestępców, które wykorzystywały luki w zabezpieczeniach.Zidentyfikowane grupy zagrożeń to:

  • Tick - włamanie na serwer webowy firmy z Azji Wschodniej, która świadczy usługi IT. Podobnie jak w przypadku LuckyMouse i Calypso, grupa prawdopodobnie miała dostęp do exploita przed wydaniem łatek.
  • LuckyMouse – włamanie na serwer poczty elektronicznej instytucji rządowej na Bliskim Wschodzie. Ta grupa APT prawdopodobnie była w posiadaniu exploita co najmniej jeden dzień przed wydaniem łatki.
  • Calypso –włamanie na serwery poczty elektronicznej podmiotów rządowych na Bliskim Wschodzie i w Ameryce Południowej. Grupa prawdopodobnie miała dostęp do exploita w dniu udostępnienia łatki. W kolejnych dniach operatorzy Calypso celowali w dodatkowe serwery podmiotów rządowych i prywatnych firm w Afryce, Azji i Europie.
  • Websiic – atak ukierunkowany na siedem serwerów poczty elektronicznej należących do prywatnych firm (głównie z branży IT, telekomunikacji i inżynierii) w Azji oraz organu rządowego w Europie Wschodniej. ESET nazwał ten nowy klaster aktywności Websiic.
  • Winnti Group – włamała się na serwery poczty elektronicznej firmy naftowej i firmy produkującej sprzęt budowlany w Azji. Grupa prawdopodobnie miała dostęp do exploita przed wydaniem łatek.
  • Zespół Tonto – włamał się do serwerów poczty elektronicznej firmy zaopatrzeniowej i firmy konsultingowej specjalizującej się w tworzeniu oprogramowania i cyberbezpieczeństwie, obu z siedzibą w Europie Wschodniej.
  • Działalność ShadowPad – włamanie do serwerów poczty e-mail firmy programistycznej z siedzibą w Azji i firmy zajmującej się nieruchomościami z Bliskiego Wschodu. ESET wykrył wariant backdoora ShadowPad przygotowanego przez nieznaną grupę.
  • „Opera” Cobalt Strike – wymierzona w około 650 serwerów, głównie w Stanach Zjednoczonych, Niemczech, Wielkiej Brytanii i innych krajach europejskich zaledwie kilka godzin po wydaniu łatek.
  • Backdoory IIS – firma ESET zaobserwowała backdooryIIS, instalowane za pośrednictwem powłok sieciowych typu webshell, na czterech serwerach poczty e-mail zlokalizowanych w Azji i Ameryce Południowej. Jeden z backdoorów jest publicznie znany jako Owlproxy.
  • Mikroceen – przejął kontrolę nad serwerem pocztowym firmy użyteczności publicznej w Azji Środkowej, czyli w regionie, który jest zazwyczaj na celowniku tej grupy.
  • DLTMiner – firma ESET wykryła skrypty PowerShell typu downloader na wielu serwerach poczty e-mail, które były wcześniej atakowane przy użyciu luk w zabezpieczeniach serwera Exchange. Infrastruktura sieciowa wykorzystana w tym ataku jest powiązana z wcześniej wspomnianą kampanią wydobywania kryptowalut.

Matthieu Faou radzi:

Luki powinny zostać zalatane przez administratorów jak tylko pojawiły się aktualizacje zabezpieczeń. Jeśli ktoś jeszcze tego nie zrobił, powinien czym prędzej zareagować. Nawet te serwery Exchange, które nie mają bezpośredniego połączenia z Internetem, powinny zostać uzupełnione o stosowne aktualizacje. W przypadku naruszenia bezpieczeństwa administratorzy powinni usunąć powłoki sieciowe, zmienić dane logowania i prześledzić ewentualną złośliwą aktywność. Ten incydent jest bardzo dobrym przypomnieniem, że złożone aplikacje, takie jak Microsoft Exchange czy SharePoint, nie powinny być dostępne z Internetu

Źródło: ESET