12 marca 2021

Ponad 5 tysięcy serwerów padło ofiarą ataków związanych z lukami w zabezpieczeniach Microsoft Exchange

W minionym tygodniu ponad dziesięć różnych grup hakerskich APT wykorzystało istniejące luki w Microsoft Exchange, aby włamać się do serwerów pocztowych. Badacze ESET odkryli, że złośliwą aktywność zarejestrowano na ponad 5000 serwerów poczty e-mail, należących do różnego rodzaju organizacji, zarówno firm, jak i rządów z całego świata. – Aktywność grupy Hafnium, o której najgłośniej w mediach, to zaledwie wierzchołek góry lodowej. Biorąc pod uwagę popularność oprogramowania Microsoft, skala zagrożenia jest bardzo poważna – informują specjaliści ESET.

Z początkiem marca firma Microsoft udostępniła łatki dla Exchange Server 2013, 2016 i 2019, które naprawiają szereg luk w zabezpieczeniach i chronią przed zdalnym wykonaniem kodu (RCE). Dla cyberprzestępców, luki te stanowią furtkę do swobodnego przejęcia podatnej wersji serwera Exchange i to bez konieczności znajomości jakichkolwiek istotnych danych logowania do konta. Okazało się, że serwery połączone z Internetem stanowią łatwy cel dla grup hakerskich, a ogromna liczba użytkowników Microsoft Exchange może oznaczać ryzyko nadużyć na ogromną skalę.

Krótko po wypuszczeniu łatek, eksperci ESET bacznie przyglądali się bieżącej sytuacji i odnotowali zwiększoną aktywność cyberprzestępców, którzy skanowali i atakowali serwery Exchange.

– Co ciekawe, prawie wszystkie ataki zostały przeprowadzone przez grupy typu APT, które zajmują się głównie szpiegowaniem. Wyjątek stanowiła jedna grupa, która związana jest ze znaną kampanią wydobywania kryptowalut. Z pewnością przypadków wykorzystania luk z czasem będzie więcej i należy się spodziewać wzmożonej aktywności operatorów oprogramowania ransomware. Należy podkreślić, że wiele grup APT wykorzystywało luki w zabezpieczeniach na długo przed wydaniem łatek, co oznacza, że nie stworzyły exploita bazując na inżynierii wstecznej aktualizacji Microsoft.

Matthieu Faou
kieruje pracami badawczymi firmy ESET w zakresie ostatniego łańcucha luk w zabezpieczeniach Exchange

Zgodnie z obserwacjami specjalistów, wzmożoną aktywność odnotowano w szczególności w Stanach Zjednoczonych, Wielkiej Brytanii oraz Niemczech, niemniej jednak ataki zaobserwowano w wielu innych krajach.

Telemetria ESET zgłosiła obecność złośliwych programów lub skryptów, które umożliwiają zdalne sterowanie serwerem za pośrednictwem przeglądarki internetowej, na ponad 5000 serwerach rozmieszczonych w ponad 115 krajach.

Detekcje ESET dla skryptów typu webshell w okolicy dodania ostatniej łatki Microsoft Exchange, godzina po godzinie

Odsetek rozpoznań webshell według kraju (2021-02-28 do 2021-03-09)

Badaczom ESET udało się określić ponad 10 grup cyberprzestępców, które wykorzystywały luki w zabezpieczeniach. Zidentyfikowane grupy zagrożeń to:

  • Tick – włamanie na serwer webowy firmy z Azji Wschodniej, która świadczy usługi IT. Podobnie jak w przypadku LuckyMouse i Calypso, grupa prawdopodobnie miała dostęp do exploita przed wydaniem łatek.
  • LuckyMouse – włamanie na serwer poczty elektronicznej instytucji rządowej na Bliskim Wschodzie. Ta grupa APT prawdopodobnie była w posiadaniu exploita co najmniej jeden dzień przed wydaniem łatki.
  • Calypso – włamanie na serwery poczty elektronicznej podmiotów rządowych na Bliskim Wschodzie i w Ameryce Południowej. Grupa prawdopodobnie miała dostęp do exploita w dniu udostępnienia łatki. W kolejnych dniach operatorzy Calypso celowali w dodatkowe serwery podmiotów rządowych i prywatnych firm w Afryce, Azji i Europie.
  • Websiic – atak ukierunkowany na siedem serwerów poczty elektronicznej należących do prywatnych firm (głównie z branży IT, telekomunikacji i inżynierii) w Azji oraz organu rządowego w Europie Wschodniej. ESET nazwał ten nowy klaster aktywności Websiic.
  • Winnti Group – włamała się na serwery poczty elektronicznej firmy naftowej i firmy produkującej sprzęt budowlany w Azji. Grupa prawdopodobnie miała dostęp do exploita przed wydaniem łatek.
  • Zespół Tonto – włamał się do serwerów poczty elektronicznej firmy zaopatrzeniowej i firmy konsultingowej specjalizującej się w tworzeniu oprogramowania i cyberbezpieczeństwie, obu z siedzibą w Europie Wschodniej.
  • Działalność ShadowPad – włamanie do serwerów poczty e-mail firmy programistycznej z siedzibą w Azji i firmy zajmującej się nieruchomościami z Bliskiego Wschodu. ESET wykrył wariant backdoora ShadowPad przygotowanego przez nieznaną grupę.
  • „Opera” Cobalt Strike – wymierzona w około 650 serwerów, głównie w Stanach Zjednoczonych, Niemczech, Wielkiej Brytanii i innych krajach europejskich zaledwie kilka godzin po wydaniu łatek.
  • Backdoory IIS – firma ESET zaobserwowała backdoory IIS, instalowane za pośrednictwem powłok sieciowych typu webshell, na czterech serwerach poczty e-mail zlokalizowanych w Azji i Ameryce Południowej. Jeden z backdoorów jest publicznie znany jako Owlproxy.
  • Mikroceen – przejął kontrolę nad serwerem pocztowym firmy użyteczności publicznej w Azji Środkowej, czyli w regionie, który jest zazwyczaj na celowniku tej grupy.
  • DLTMiner - firma ESET wykryła skrypty PowerShell typu downloader na wielu serwerach poczty e-mail, które były wcześniej atakowane przy użyciu luk w zabezpieczeniach serwera Exchange. Infrastruktura sieciowa wykorzystana w tym ataku jest powiązana z wcześniej wspomnianą kampanią wydobywania kryptowalut.

– Luki powinny zostać zalatane przez administratorów jak tylko pojawiły się aktualizacje zabezpieczeń. Jeśli ktoś jeszcze tego nie zrobił, powinien czym prędzej zareagować. Nawet te serwery Exchange, które nie mają bezpośredniego połączenia z Internetem, powinny zostać uzupełnione o stosowne aktualizacje. W przypadku naruszenia bezpieczeństwa administratorzy powinni usunąć powłoki sieciowe, zmienić dane logowania i prześledzić ewentualną złośliwą aktywność. Ten incydent jest bardzo dobrym przypomnieniem, że złożone aplikacje, takie jak Microsoft Exchange czy SharePoint, nie powinny być dostępne z Internetu.

Matthieu Faou
kieruje pracami badawczymi firmy ESET

Autorem tekstu jest Maurycy Sklorz

Grzegorz Klocek

Grzegorz Klocek
senior product manager ESET

Masz pytania?
Skontaktuj się ze mną:
[email protected]
32 259 11 34