Szerző: Hlács Ferenc

2021. március 11. 12:24

Már tíz hackercsoport állt rá az Exchange Server biztonsági réseire

Tömegével igyekeznek hozzáférést szerezni a támadók a sebezhető szerverekhez.

Legalább tíz hackercsoport támadja aktívan a Microsoft Exchange Server sebezhetőségeit, amelyekre a vállalat múlt héten adott ki javításokat. Sok vállalat azonban továbbra sem telepítette a patch-eket - azok rendszereihez pedig a támadók pánikszerűen igyekeznek hozzáférést szerezni.

Mint az ESET szakértői beszámoltak róla, a cég már több mint ötezer egyedi email szervert azonosított, több mint 115 országban, amelyet a tűz alá vettek a hackerek az Exchange Server sérülékenységein keresztül. A szerverek üzemeltetői között pedig cégek és kormányzati szervezetek egyaránt ott vannak. Az offenzíva jóval túlmutat a kínai hátterű Hafnium hackercsoporton, amelynek a Microsoft eleinte a támadásokat tulajdonította.

breachill

A kutatók szerint a patch-ek megjelenését követő naptól támadók tömegesen kezdtek sebezhető Exchange szerverek után kutatni, illetve azokhoz hozzáférést szerezni. Az újonnan felfedezett csoportok szinte mindegyike valamilyen hírszerzési szervezethez köthető, egy kivétellel, amely jó eséllyel egy kriptobányász kampány része. Ahogy a Matthieu Faou, az ESET az Exchange sebezhetőségekhez kapcsolódó kutatásának vezetője elmondta, elkerülhetetlen, hogy a biztonsági réseket előbb vagy utóbb még több támadó használja majd ki - a cég szerint egyébként már a javítások megjelenése előtt is több csoport igyekezett kiaknázni a sebezhetőségeket. A támadók, ahogy azt korábbi vizsgálatok is megállapították, web shelleket, illetve backdoorokat helyeznek el a szervereken, a későbbi (akár a javítás telepítését követő) hozzáférés céljából.

Docker és Terraform képzésekkel indul a tavaszt! (x)

Április 19-20-án 12 órás online, alapozó képzéseket indít a HWSW.

Docker és Terraform képzésekkel indul a tavaszt! (x) Április 19-20-án 12 órás online, alapozó képzéseket indít a HWSW.

Az ESET a Tick, LuckyMouse, Calypso, Websiic, Winnti Group, Tonto Team, Mikroceen és a The "Opera" Cobalt Strike támadócsoportokat, valamint a DLTMiner bányászkampányt azonosította, de az IIS és ShadowPad backdoorokat használó hackereket is észlelt. A cég csak a The "Opera" Cobalt Strike kapcsán mintegy 650 megtámadott szerverről beszél, főként az Egyesült Államokban, az Egyesült Királyságban, Németországban és néhány további, európai országban - alig néhány órával a javítások megjelenését követően.

Az Exchange szervereket futtató szervezetek tehát ha még nem tették, késlekedés nélkül telepítsék a Microsoft patche-eit - hiszen már bőven az utolsó utáni pillanatban járnak. Fau mindenkit a frissítésre sürget, még abban az esetben is, ha a szerverek nem rendelkeznek közvetlen online eléréssel.

a címlapról