Tu jesteś:
GSMService.pl
» Aktualności
Luki w zabezpieczeniach Microsoft Exchange 5tyś serwerów padło
Dodał: Monika Kowalczewska -
opublikowano:
2021-03-12 14:31 -
czytano: 870
razy
-
tylko 1 komentarz

Microsoft, skala zagrożenia jest bardzo poważna – informują specjaliści ESET.
Z początkiem marca firma Microsoft udostępniła łatki dla Exchange Server 2013, 2016 i 2019, które naprawiają szereg luk w zabezpieczeniach i chronią przed zdalnym wykonaniem kodu (RCE). Dla cyberprzestępców, luki te stanowią furtkę do swobodnego przejęcia podatnej wersji serwera Exchange i to bez konieczności znajomości jakichkolwiek istotnych danych logowania do konta. Okazało się, że serwery połączone z Internetem stanowią łatwy cel dla grup hakerskich, a ogromna liczba użytkowników Microsoft Exchange może oznaczać ryzyko nadużyć na ogromną skalę.
Krótko po wypuszczeniu łatek, eksperci ESET bacznie przyglądali się bieżącej sytuacji i odnotowali zwiększoną aktywność cyberprzestępców, którzy skanowali i atakowali serwery Exchange.
- Co ciekawe, prawie wszystkie ataki zostały przeprowadzone przez grupy typu APT, które zajmują się głównie szpiegowaniem. Wyjątek stanowiła jedna grupa, która związana jest ze znaną kampanią wydobywania kryptowalut. Z pewnością przypadków wykorzystania luk z czasem będzie więcej i należy się spodziewać wzmożonej aktywności operatorów oprogramowania ransomware – mówi Matthieu Faou, który kieruje pracami badawczymi firmy ESET w zakresie ostatniego łańcucha luk w zabezpieczeniach Exchange. Należy podkreślić, że wiele grup APT wykorzystywało luki w zabezpieczeniach na długo przed wydaniem łatek, co oznacza, że nie stworzyły exploita bazując na inżynierii wstecznej aktualizacji Microsoft - dodaje Faou.
Zgodnie z obserwacjami specjalistów, wzmożoną aktywność odnotowano w szczególności w Stanach Zjednoczonych, Wielkiej Brytanii oraz Niemczech, niemniej jednak ataki zaobserwowano w wielu innych krajach. Telemetria ESET zgłosiła obecność złośliwych programów lub skryptów, które umożliwiają zdalne sterowanie serwerem za pośrednictwem przeglądarki internetowej, na ponad 5 000 serwerach rozmieszczonych w ponad 115 krajach.
Badaczom ESET udało się określić ponad 10 grup cyberprzestępców, które wykorzystywały luki w zabezpieczeniach. Zidentyfikowane grupy zagrożeń to:
Krótko po wypuszczeniu łatek, eksperci ESET bacznie przyglądali się bieżącej sytuacji i odnotowali zwiększoną aktywność cyberprzestępców, którzy skanowali i atakowali serwery Exchange.
- Co ciekawe, prawie wszystkie ataki zostały przeprowadzone przez grupy typu APT, które zajmują się głównie szpiegowaniem. Wyjątek stanowiła jedna grupa, która związana jest ze znaną kampanią wydobywania kryptowalut. Z pewnością przypadków wykorzystania luk z czasem będzie więcej i należy się spodziewać wzmożonej aktywności operatorów oprogramowania ransomware – mówi Matthieu Faou, który kieruje pracami badawczymi firmy ESET w zakresie ostatniego łańcucha luk w zabezpieczeniach Exchange. Należy podkreślić, że wiele grup APT wykorzystywało luki w zabezpieczeniach na długo przed wydaniem łatek, co oznacza, że nie stworzyły exploita bazując na inżynierii wstecznej aktualizacji Microsoft - dodaje Faou.
Zgodnie z obserwacjami specjalistów, wzmożoną aktywność odnotowano w szczególności w Stanach Zjednoczonych, Wielkiej Brytanii oraz Niemczech, niemniej jednak ataki zaobserwowano w wielu innych krajach. Telemetria ESET zgłosiła obecność złośliwych programów lub skryptów, które umożliwiają zdalne sterowanie serwerem za pośrednictwem przeglądarki internetowej, na ponad 5 000 serwerach rozmieszczonych w ponad 115 krajach.
Badaczom ESET udało się określić ponad 10 grup cyberprzestępców, które wykorzystywały luki w zabezpieczeniach. Zidentyfikowane grupy zagrożeń to:
- Tick – włamanie na serwer webowy firmy z Azji Wschodniej, która świadczy usługi IT. Podobnie jak w przypadku LuckyMouse i Calypso, grupa prawdopodobnie miała dostęp do exploita przed wydaniem łatek.
- LuckyMouse – włamanie na serwer poczty elektronicznej instytucji rządowej na Bliskim Wschodzie. Ta grupa APT prawdopodobnie była w posiadaniu exploita co najmniej jeden dzień przed wydaniem łatki.
- Calypso – włamanie na serwery poczty elektronicznej podmiotów rządowych na Bliskim Wschodzie i w Ameryce Południowej. Grupa prawdopodobnie miała dostęp do exploita w dniu udostępnienia łatki. W kolejnych dniach operatorzy Calypso celowali w dodatkowe serwery podmiotów rządowych i prywatnych firm w Afryce, Azji i Europie.
- Websiic – atak ukierunkowany na siedem serwerów poczty elektronicznej należących do prywatnych firm (głównie z branży IT, telekomunikacji i inżynierii) w Azji oraz organu rządowego w Europie Wschodniej. ESET nazwał ten nowy klaster aktywności Websiic.
- Winnti Group – włamała się na serwery poczty elektronicznej firmy naftowej i firmy produkującej sprzęt budowlany w Azji. Grupa prawdopodobnie miała dostęp do exploita przed wydaniem łatek.
- Zespół Tonto – włamał się do serwerów poczty elektronicznej firmy zaopatrzeniowej i firmy konsultingowej specjalizującej się w tworzeniu oprogramowania i cyberbezpieczeństwie, obu z siedzibą w Europie Wschodniej.
- Działalność ShadowPad – włamanie do serwerów poczty e-mail firmy programistycznej z siedzibą w Azji i firmy zajmującej się nieruchomościami z Bliskiego Wschodu. ESET wykrył wariant backdoora ShadowPad przygotowanego przez nieznaną grupę.
- „Opera” Cobalt Strike – wymierzona w około 650 serwerów, głównie w Stanach Zjednoczonych, Niemczech, Wielkiej Brytanii i innych krajach europejskich zaledwie kilka godzin po wydaniu łatek.
- Backdoory IIS – firma ESET zaobserwowała backdoory IIS, instalowane za pośrednictwem powłok sieciowych typu webshell, na czterech serwerach poczty e-mail zlokalizowanych w Azji i Ameryce Południowej. Jeden z backdoorów jest publicznie znany jako Owlproxy.
- Mikroceen – przejął kontrolę nad serwerem pocztowym firmy użyteczności publicznej w Azji Środkowej, czyli w regionie, który jest zazwyczaj na celowniku tej grupy.
- DLTMiner – firma ESET wykryła skrypty PowerShell typu downloader na wielu serwerach poczty e-mail, które były wcześniej atakowane przy użyciu luk w zabezpieczeniach serwera Exchange. Infrastruktura sieciowa wykorzystana w tym ataku jest powiązana z wcześniej wspomnianą kampanią wydobywania kryptowalut.
Źródło:
Eset
Komentarze:

rozwiń wszystkie
nowy wątek

MAC OS
A co z mac os?
2021-03-25 21:40
Thorgall
Zobacz wszystkie komentarze...
Dodaj komentarz:
zaloguj się
x








- Telewizor The Frame podbija stawkę podczas 50. Aukcji Nowej Sztuki
- Podwajamy gigabajty na wiosnę – startuje nowa kampania T-Mobile
- Cybergangi w regionie Azji i Pacyfiku podnoszą poprzeczkę
- Oscarowe i premierowe filmy w Orange VOD w kwietniu
- Startupy IT mogą liczyć w pandemii na finansowanie w EFL
- Voucher 100 zł na smartfony w abonamencie od T-Mobile
- Smartfony LG, Xiaomi i OPPO – taniej przez najbliższe dni

- Polska premiera smartfonów realme z serii 8
- Cyfrowe rozwiązanie, realna pomoc
- paybtc.io – teraz za wszystko zapłacisz kryptowalutą
- Marcowy rekord Game Passa: aż 37 nowych tytułów
- Kumulacja promocji Galaxy S21 5G: Samsung łączy siły z influencerami
- 57proc. polskich firm przyspieszyło transformację cyfrową w czasie pandemii
- Odbierz 10 GB na pierwszy dzień wiosny T-Mobile
