ESET: Повече от десет APT групи атакуват уязвимостите в Exchange

ESET: Повече от десет APT групи атакуват уязвимостите в Exchange

В началото на януари, компанията за киберзащита Volexity регистрират необичайна активност, идваща от Microsoft Exchange инсталациите на двама от своите клиенти. Впоследствие, те се натъкват не на една, а на две неизвестни досега уязвимости в Exchange, които могат да се използват превземането на сървърните инсталации, а в случая – за вход в електронните пощи, които управлява сървъра и изпращане на съдържанието им към контролирани от атакуващата страна машина. Въпросните две уязвимости – CVE-2021-26855 и CVE-2021-27065 – биват използвани заедно и не изискват от атакуващата страна да се удостовери по специален начин пред сървъра.

Отново през януари, датската компания Dubex е алармирана за сходна необичайна активност, свързана с Exchange инсталациите на техен клиент. „Dubex разследва подозрителна дейност, свързана с набор от Exchange сървъри. Бяха регистрирани общи пост-експлоатационни действия, при които се изпращат множество POST заявки към уебшел инсталции в OWA (Outlook Web App) директорията“, пишат специалистите от компанията. Те допълват, че предположението им е, че защитата на сървъра е била компрометирана чрез т.нар. „задна вратичка“ или бекдор. Оказало се обаче, че става дума за използването на нерегистрирана до този момент уязвимост в Exchange.

И трета страна, независима от споменатите две компании, отново в началото на януари, алармира за открити проблеми в Exchange. Става дума за разработчик от DEVCORE, който съобщава на Microsoft за две новооткрити уязвимости в Exchange. „Това може да е най-важната дистанционно експлоатируемата уязвимост, която някога съм докладвал“, споделя в Twitter един от главните разработчици в компанията.

Междувременно атаките се засилват, като особено интензивни стават в края на миналия месец. В същото време, Microsoft работи по решение на няколкото свързани помежду си уязвимости и излиза с кръпки за тях този месец – повече от осем седмици след първия доклад – действие, което бива критикувано впоследствие. Проблемите са достатъчно сериозни за това компанията да публикува и обновления към Windows Server 2013. Самите Microsoft излязоха с кратка блог публикация, посочваща малко известна китайска кибершпионска група, атакуваща сървърни инсталации с непокрити уязвимости за Exchange. Според нова информация, идваща от страна на ESET, въпросните уязвимости са били атакувани от далеч повече на брой APT (advanced persistent threat) групи, както и от киберпрестъпници.

От ESET пишат, че в последния ден на февруари, те регистрират експлоатирането на серията от уязвимости от четири известни кибершпионски групи – Tick, LuckyMouse, Calypso и Winnti. „Това предполага, че множество криминални структури са получили подробности за уязвимостите преди пускането на обновленията, което на свой ред означава, че може да пренебрегнем възможността да са изградили експлойти на основата на реверсивно инженерство на публикуваните от Microsoft обновления“, смятат ESET. Само ден след пускането на кръпките, на сцената се появяват други две известни групи, които сканират интернет спектъра за уязвими машини и се опитват да ги компрометират в масов мащаб. Появява се и киберпрестъпна групировка, известна с това, че доставя криптоминьори към незащитени системи.

Това, с което се характеризират успешните атаки към Exchange инсталациите е появата на уебшел програми за контрола им. ESET допълват, че в последните дни (публикацията в блога им е от вчера) те следят за присъствието на подобни програми, като регистрират над 5000 уникални сървъра в над 115 държави по цял свят, в които присъстват подобни програми.

ESET описват над 10 подобни групи, които експлоатират слабостите в Exchange, някои от тях – преди излизането на мартенския Patch Tuesday. Те отбелязват също така, че са забелязали как едни и същи сървърни инсталации биват атакувани от няколко известни групи, като очакват достъпа им до тях да бъде използван не само за шпионски действия, но и за разпространението на допълнително зловреден код, в това число и рансъмуер.

„В заключение, този случай идва тъкмо навреме, за да напомни, че сложни приложения, като Microsoft Exchange или Sharepoint не би трябвало да са открити към Интернет, защото в случая на масово експлоатиране, то е много трудно, ако не и невъзможно, да се наложат на време обновленията за тях“, заключава ESET.



Източник: www.kaldata.com