Több ezer levelezőszerver ostrom alatt

2021.03.18.
 
Adverticum Zrt.

Március elején a Microsoft biztonsági javításokat tett közzé az Exchange Server 2013, 2016 és 2019 programokhoz, hogy kiküszöböljenek egy sor, az előzetes hitelesítésre és távoli kódfuttatásra (remote code execution, RCE) vonatkozó biztonsági rést. Ezek a biztonsági rések lehetővé teszik a támadók számára, hogy átvegyék az elérhető Exchange-szerverek feletti hatalmat, érvényes fiók-hitelesítő adatok nélkül – ami különösen sebezhetővé teszi az internethez kapcsolódó Exchange-szervereket.

 

„A biztonsági javítások közzététele utáni napon a korábbinál sokkal több fenyegetésre figyeltünk fel, amelyek tömeges mértékben támadták az Exchange szervereket. Érdekes módon mindegyikük kémkedésre szakosodott APT-csoport, kivéve egyet, ami a jelek szerint egy ismert kriptobányászati tevékenységgel áll összefüggésben. Elkerülhetetlen, hogy előbb-utóbb még több fenyegetés, köztük zsarolóvírussal támadó csoportok is hozzáférjenek ezekhez a sebezhetőséget kihasználó exploitokhoz” - magyarázta Matthieu Faou, az Exchange sebezhetőségi láncát vizsgáló ESET-kutatás vezetője. Az ESET kutatói megfigyelték, hogy néhány APT-csoport még a javítások kiadása előtt elkezdte kihasználni a sebezhetőségeket. „Ez alapján elvethetjük annak lehetőségét, hogy ezek a csoportok a Microsoft frissítések kódjainak visszafejtésével hoztak létre egy exploitot” – tette hozzá Faou. 

 

Az ESET telemetriája több mint 115 ország több mint 5000 egyedi szerverén észlelt webshell kódokat, vagyis olyan rosszindulatú programokat vagy szkripteket, amelyek lehetővé teszik a szerver távoli vezérlését a böngészőn keresztül.

 

Az ESET óránkénti észlelése a CVE-2021-26855 nevű egyik Exchange biztonsági résen keresztül hozzáadott webshell kódokról

 

 

A webshell kód észlelések eloszlása országonként (2021.02.28. és 2021.03.09. között)

 

 

Az ESET több mint tíz különböző kiberbűnözői csoportot azonosított, amelyek vélhetően úgy használják ki a közelmúltban közzétett Microsoft Exchange RCE biztonsági réseket, hogy rosszindulatú programokat, például webshell kódokat és hátsó ajtókat telepítenek az áldozatok levelezőszervereire. Néhány esetben egyszerre több csoport is megtámadta ugyanazt a szervezetet. 

 

Íme a beazonosított kiberbűnözői csoportok és viselkedési mintáik:  

•  Tick – kompromittálta egy IT-szolgáltatásokat nyújtó kelet-ázsiai székhelyű vállalat webszerverét. A LuckyMouse és a Calypso esetéhez hasonlóan a csoport valószínűleg még a biztonsági javítások kiadása előtt hozzáfért egy exploithoz. 

•  LuckyMouse – kompromittálta egy közel-keleti kormányzati szerv levelezőszerverét. Az APT-csoport valószínűleg már a nulladik napon, legalább egy nappal a javítások közzététele előtt használt egy expoitot. 

•  Calypso – kormányzati levelezőszervereket kompromittált a Közel-Keleten és Dél-Amerikában. A csoport valószínűleg már a nulladik napon hozzáfért az exploithoz. A rákövetkező napokban a Calypso üzemeltetői további kormányzati szervezetek és magánvállalkozások szervereit célozták meg Afrikában, Ázsiában és Európában.

•  Websiic – hét magánszférában lévő vállalat levelezőszerverét támadta meg Ázsiában (IT, telekommunikáció és mérnöki területeken) és egy kormányzati szervet Kelet-Európában. Az ESET Websiic névre keresztelte az új tevékenységcsoportot.

•  Winnti Group – kompromittálta egy olajipari vállalat és egy építőipari gépeket gyártó vállalat levelezőszervereit Ázsiában. A csoport valószínűleg még a javítások közzététele előtt hozzáfért egy exploithoz.

•  Tonto Team – kompromittálta egy beszerzési vállalat, illetve egy szoftverfejlesztésre és kiberbiztonságra szakosodott tanácsadó cég levelezőszervereit Kelet-Európában.

•  ShadowPad activity – kompromittálta egy ázsiai székhelyű szoftverfejlesztő cég és egy közel-keleti székhelyű ingatlancég levelezőszervereit. Az ESET észlelte a ShadowPad hátsó ajtók egyik variánsát, amit egy ismeretlen csoport hozott létre.

•  The “Opera” Cobalt Strike – körülbelül 650 szervert támadott meg, főleg az Egyesült Államokban, Németországban, az Egyesült Királyságban és más európai országokban, mindössze néhány órával a javítások közzététele után.

•  IIS backdoors – Az ESET webhéjakon keresztül telepített IIS hátsó ajtókat észlelt négy, Ázsiában és Dél-Amerikában található levelezőszerveren. Az egyik hátsó ajtó Owlproxy néven ismert.

•  Mikroceen – kompromittálta egy közüzemi vállalat levelezőrendszerét Közép-Ázsiában, a csoport által leginkább célzott régióban.

•  DLTMiner – Az ESET több olyan levelezőszerveren észlelte a PowerShell letöltők telepítését, amelyeket korábban az Exchange biztonsági rések kihasználásával támadtak. A támadásban használt hálózati infrastruktúra egy korábban jelentett kriptobányászati tevékenységhez kapcsolódik.

 

„Nyilvánvalóvá vált, hogy haladéktalanul meg kell kezdeni az összes Exchange-kiszolgáló javítását. Ez még azokra a szerverekre is érvényes, amelyek nem kapcsolódnak közvetlenül az internethez. Kompromittálódás esetén a rendszergazdák feladata a webshell kódok eltávolítása, a hitelesítő adatok módosítása és a teljes átvizsgálás az esetleges további rosszindulatú tevékenységek felfedezése érdekében. Ez az eset nagyon jó emlékeztető arra, hogy az olyan összetett alkalmazásoknak, mint a Microsoft Exchange vagy a SharePoint, nem szabadna védtelenül állniuk az internet előtt” – nyilatkozta Faou.

 

Az Exchange sebezhetőségét célzó támadások technikai részletei a WeLiveSecurity Exchange servers under siege from at least 10 APT groups című blogposztjában olvashatók.