Skip to main content
tech2024 02 28 at 08 01 46 TM 458
Hermes Banner 1
DIGITAL TV 186
securityreport e mag odhgos 2021
16 Μαρτίου 2021 11:29

ESET: Υπό πολιορκία χιλιάδες διακομιστές email!

86ff371e3343fba805c28d7d07180927 XL 195661a6

Η ESET Research ανακάλυψε ότι περισσότερες από δέκα διαφορετικές ομάδες APT (advanced persistent threat) εκμεταλλεύονται τις πρόσφατες ευπάθειες του Microsoft Exchange για να παραβιάσουν email servers. Η ESET εντόπισε περισσότερους από 5.000 email servers που έχουν επηρεαστεί από κακόβουλη δραστηριότητα που σχετίζεται με το περιστατικό. Οι servers ανήκουν σε οργανισμούς – επιχειρήσεις και κυβερνήσεις – απ’ όλο τον κόσμο.

Η ESET Research ανακάλυψε ότι περισσότερες από δέκα διαφορετικές ομάδες APT (advanced persistent threat) εκμεταλλεύονται τις πρόσφατες ευπάθειες του Microsoft Exchange για να παραβιάσουν email servers. Η ESET εντόπισε περισσότερους από 5.000 email servers που έχουν επηρεαστεί από κακόβουλη δραστηριότητα που σχετίζεται με το περιστατικό. Οι servers ανήκουν σε οργανισμούς – επιχειρήσεις και κυβερνήσεις – απ’ όλο τον κόσμο.

Στις αρχές Μαρτίου, η Microsoft κυκλοφόρησε ενημερώσεις (patches) για το Exchange Server 2013, 2016 και 2019 που επιδιορθώνουν μια σειρά ευπαθειών απομακρυσμένης εκτέλεσης κώδικα (RCE). Οι ευπάθειες επιτρέπουν σε έναν εισβολέα να αποκτήσει τον έλεγχο οποιοδήποτε προσβάσιμου Exchange server, χωρίς να χρειάζεται τα διαπιστευτήρια του λογαριασμού, καθιστώντας τους Exchange servers που είναι συνδεδεμένοι στο internet ιδιαίτερα ευάλωτους.
«Την επόμενη ημέρα από την κυκλοφορία των ενημερώσεων, αρχίσαμε να παρατηρούμε πολλούς κακόβουλους παράγοντες να σαρώνουν και να επιτίθενται μαζικά σε Exchange servers.

Είναι ενδιαφέρον ότι όλοι είναι ομάδες APT που επικεντρώνονται στην κατασκοπεία, εκτός από έναν που φαίνεται να σχετίζεται με μια γνωστή εκστρατεία εξόρυξης κρυπτονομισμάτων. Ωστόσο, είναι αναπόφευκτο ότι αργά ή γρήγορα όλο και περισσότεροι κυβερνοεγκληματίες, συμπεριλαμβανομένων και διαχειριστών ransomware, θα εκμεταλλευθούν τις ευπάθειες», λέει ο Matthieu Faou, ο οποίος ηγείται της ερευνητικής προσπάθειας της ESET. Οι ερευνητές της ESET παρατήρησαν ότι ορισμένες ομάδες APT εκμεταλλεύονταν τις ευπάθειες πριν από την κυκλοφορία των ενημερωμένων εκδόσεων. «Πράγμα που σημαίνει ότι μπορούμε να απορρίψουμε την πιθανότητα να δημιούργησαν αυτές οι ομάδες ένα exploit με αντίστροφη μηχανική με βάσεις τις ενημερώσεις της Microsoft», προσθέτει ο Faou.
Η τηλεμετρία της ESET επισήμανε την παρουσία webshells (κακόβουλα προγράμματα ή scripts που επιτρέπουν απομακρυσμένο έλεγχο ενός διακομιστή μέσω ενός web browser) σε περισσότερους από 5.000 servers σε περισσότερες από 115 χώρες.

Ποσοστό ανιχνεύσεων webshells ανά χώρα

Η ESET έχει εντοπίσει περισσότερους από δέκα διαφορετικές ομάδες κυβερνοεγκληματιών που πιθανότατα έχουν εκμεταλλευτεί τις πρόσφατες ευπάθειες του Microsoft Exchange προκειμένου να εγκαταστήσουν κακόβουλο λογισμικό όπως webshells και backdoors σε email servers θυμάτων. Σε ορισμένες περιπτώσεις, διαφορετικές ομάδες στοχεύουν στον ίδιο οργανισμό.
Οι ομάδες APT είναι οι εξής: Tick, LuckyMouse, Calypso, Websiic, Winnti Group, Tonto Team, ShadowPad activity, The “Opera” Cobalt Strike, IIS backdoors, Mikroceen και DLTMiner
«Είναι πλέον ξεκάθαρο ότι πρέπει να ενημερώσουμε όλους τους Exchange servers το συντομότερο δυνατό. Ακόμη και εκείνους που δε συνδέονται απευθείας στο internet. Σε περίπτωση παραβίασης, οι διαχειριστές θα πρέπει να αφαιρέσουν τα webshells, να αλλάξουν διαπιστευτήρια και να διερευνήσουν τυχόν επιπλέον κακόβουλη δραστηριότητα. Αυτό το περιστατικό είναι μια πολύ καλή ευκαιρία να θυμόμαστε ότι πολύπλοκες εφαρμογές όπως το Microsoft Exchange ή το SharePoint δεν πρέπει να είναι ανοιχτές στο internet», συμβουλεύει ο Faou.

Για περισσότερες τεχνικές λεπτομέρειες σχετικά με τις επιθέσεις που εκμεταλλεύονται τις πρόσφατες ευπάθειες του Exchange, διαβάστε το blogpost “Exchange servers under siege from at least 10 APT groups” στο WeLiveSecurity. Ακολουθήστε το ESET Research στο Twitter για τα τελευταία νέα.

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Security Report Μαρτίου

    Security Report Μαρτίου

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Μαρτίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος του Security Report θα βρείτε ενδιαφέροντα ...
  • 9 συστήματα ελέγχου πρόσβασης για ξενοδοχεία

    9 συστήματα ελέγχου πρόσβασης για ξενοδοχεία

    Ο κλάδος της φιλοξενίας εξελίσσεται ραγδαία, ιδίως στη χώρα μας, όπου καθημερινά εκατοντάδες ξενοδοχεία προσφέρουν μοναδικές εμπειρίες στους επισκέπτες και στους τουρίστες που καταφθάνουν από το ε...
  • Ελληνικός Κεντρικός Σταθμός – ΕΡΜΗΣ

    Ελληνικός Κεντρικός Σταθμός – ΕΡΜΗΣ

    Η Ελληνικός Κεντρικός Σταθμός Α.Ε. – ΕΡΜΗΣ διασφαλίζει τη διαθεσιμότητα και την αδιάλειπτη παροχή των 24/7 Υπηρεσιών Κέντρου Λήψης Ηλεκτρονικών Σημάτων, για την αντιμετώπιση απρόσμενων καταστάσεων...
  • 11 Wi-Fi κάμερες της ANGA για όλες τις απαιτήσεις

    11 Wi-Fi κάμερες της ANGA για όλες τις απαιτήσεις

    Μία ολοκληρωμένη σειρά 11 Wi-Fi καμερών της ANGA, καθεμία από τις οποίες διαθέτει ένα μοναδικό σύνολο χαρακτηριστικών προσαρμοσμένων για να καλύψει διαφορετικές ανάγκες και προτιμήσεις, θα βρείτε ...
  • 3 Νέα CCTV testers με υποστήριξη οπτικών ινών από την ΗΛΚΑ

    3 Νέα CCTV testers με υποστήριξη οπτικών ινών από την ΗΛΚΑ

    H ΗΛΚΑ Α.Ε. διαθέτει την πληρέστερη γκάμα all in one CCTV testers τελευταίας γενεάς, με προϊόντα κορυφαίων προδιαγραφών, σε ασυναγώνιστες τιμές. Τα CCTV testers είναι απαραίτητα εργαλεία για τον ε...
  • TP-Link VIGI C540-W & C340 V1/V2

    TP-Link VIGI C540-W & C340 V1/V2

    Η πρωτοποριακή σειρά προϊόντων VIGI της TP-Link έχει σχεδιαστεί για εγκαταστάσεις μικρομεσαίας κλίμακας και περιλαμβάνει κάμερες υψηλής ανάλυσης με προηγμένα χαρακτηριστικά που εξασφαλίζουν καθαρή...