ESET: Mais de dez grupos de hackers estão atacando vulnerabilidades no Microsoft Exchange

Jina – As vulnerabilidades de segurança anunciadas recentemente no Microsoft Exchange causaram ondas. Pesquisadores do fabricante de segurança de TI ESET descobriram mais de uma dúzia de grupos diferentes de APT (ameaças persistentes avançadas) que estão explorando cada vez mais vulnerabilidades para penetrar em servidores de e-mail. Portanto, a ameaça não se limita ao grupo de háfnio chinês, como se suspeitava anteriormente.

A ESET já identificou 5.000 organizações de alto nível, empresas e governos em todo o mundo afetados. A maioria dos alvos dos grupos de hackers está na Alemanha. A telemetria mostrou aos especialistas em segurança a existência dos chamados web shells. Esses programas ou scripts maliciosos permitem o controle remoto do servidor por meio de um navegador da web. Especialistas em TI publicam uma análise detalhada no ESET Security Blog Welivesecurity.de.

Os produtos de segurança da ESET protegem contra ataques pós-exploração futuros, principalmente detectando malware, como shells da web e backdoors. Além disso, as soluções de detecção e resposta de endpoint, como o ESET Enterprise Inspector, chamaram a atenção para atividades suspeitas em um estágio inicial. Isso teria evitado a infecção e o vazamento de dados indesejados ”, explica Michael Schroeder, Diretor de Estratégia de Negócios de Segurança da ESET Germany.

Para avaliar o status de segurança, você deve verificar os servidores Exchange para as seguintes descobertas:

  • JS / Exploit.CVE-2021-26855.Webshell.A
  • JS / Exploit.CVE-2021-26855.Webshell.B –
  • ASP / Webshell –
  • ASP / ReGeorg

“Desde o dia em que a Microsoft lançou patches, percebemos que cada vez mais hackers estão verificando e ajustando coletivamente os servidores Exchange. Curiosamente, todos esses são grupos de APT, conhecidos por suas atividades de espionagem. Temos certeza de que outros grupos, como operadores de ransomware, tirarão proveito dessas vulnerabilidades para seus próprios fins e entrarão no carrinho ”, diz Matteo Fu, que chefia a pesquisa da ESET sobre o assunto. Os pesquisadores da ESET também descobriram que alguns grupos APT estavam explorando vulnerabilidades. Antes de as correções serem disponibilizadas, “podemos, portanto, descartar que esses clusters tenham criado uma vulnerabilidade por meio da engenharia reversa das atualizações da Microsoft”, acrescenta a FAO.

READ  Potencial de um bilhão: Apple expande suas atividades de publicidade | 28/04/21

Três dicas rápidas para administradores

  • Os servidores Exchange devem ser corrigidos o mais rápido possível. Isso também se aplica se você não estiver conectado diretamente à Internet.
  • Os administradores são aconselhados a verificar a existência de shells da web e outras atividades maliciosas e removê-los imediatamente.
  • Os dados de login devem ser alterados imediatamente.

“O incidente é um bom lembrete de que aplicativos complexos como o Microsoft Exchange ou o SharePoint não devem ser abertos para a Internet”, aconselha Matteo Faw.

Grupos APT e seus padrões de comportamento

colocar uma marca Hackear o servidor web de uma empresa com sede no Leste Asiático que fornece serviços de TI. Como no caso de LuckyMouse e Calypso, é possível que o grupo tivesse acesso a uma das vulnerabilidades antes do lançamento dos patches.

LuckyMouse Um servidor de e-mail pertencente a uma agência governamental no Oriente Médio foi infectado. É possível que este grupo APT tenha aproveitado pelo menos um dia antes do lançamento das correções, quando ainda era o dia zero.

Calypso Ataque a servidores de e-mail do governo no Oriente Médio e na América do Sul. É possível que o grupo tenha acesso de dia zero à vulnerabilidade. Nos dias que se seguiram, os operadores Calypso atacaram servidores do governo e outras empresas na África, Ásia e Europa.

WBSYC Ele tinha como alvo sete servidores de e-mail pertencentes a empresas (TIC e engenharia) na Ásia e uma agência governamental na Europa Oriental.

Grupo Winty Hackear os servidores de e-mail da Oil Company e Construction Machinery Corporation na Ásia. É possível que o grupo tivesse acesso a uma das vulnerabilidades antes do lançamento dos patches.

The Tonto Team Atacou os servidores de e-mail de uma empresa de compras e consultoria especializada em desenvolvimento de software e segurança cibernética, ambas localizadas no Leste Europeu.

READ  O novo iPad Pro de 12,9 polegadas da Apple não funcionará com o teclado mágico original de $ 349

Atividade do ShadowPad – Ele infectou os servidores de e-mail de uma empresa de desenvolvimento de software sediada na Ásia e de uma empresa imobiliária sediada no Oriente Médio. A ESET detectou uma variante do backdoor ShadowPad que foi introduzida por um grupo desconhecido.

Operação Cobalt Strike Ele tinha como alvo cerca de 650 servidores, principalmente nos EUA, Alemanha, Reino Unido e outros países europeus, poucas horas após o lançamento dos patches.

IIS – backend A ESET percebeu backdoors IIS instalados em quatro servidores de email na Ásia e na América do Sul por meio das escalas da web usadas nesses assentamentos. Uma das portas traseiras é conhecida como Owlproxy.

MicroSyn – Hackei o servidor Exchange de uma empresa de serviços públicos na Ásia Central, uma área que esse grupo costuma visar.

DLTMiner – A ESET detectou o uso de ferramentas de download do PowerShell em vários servidores de e-mail que foram atacados anteriormente por vulnerabilidades do Exchange. A infraestrutura de rede usada neste ataque está ligada a uma campanha de mineração de moedas relatada anteriormente.

meu conhecimento
No início de março, a Microsoft lançou patches para o Exchange Server 2013, 2016 e 2019 que corrigem uma série de vulnerabilidades de execução remota de código (RCE) antes da autenticação. As vulnerabilidades permitem que um invasor obtenha o controle de qualquer servidor Exchange que pode ser acessado sem a necessidade de saber quais dados de acesso são válidos, tornando os servidores Exchange conectados à Internet especialmente vulneráveis.

A análise completa pode ser encontrada em:

https://www.welivesecurity.com/deutsch/2021/03/10/exchange-server-werden-von-mindestens-10-apt-gruppen-angegriffen/

(ESET / mc / ps)

We will be happy to hear your thoughts

      Leave a reply

      Rede Piauí