בהמשך לדיווחים על מתקפת הסייבר על שירותי המיילים של מיקרוסופט,למעלה מעשר קבוצות תקיפה מנצלות את הפגיעות האחרונה ב-Exchange, ויותר מ-5,000 שרתי דוא"ל הושפעו מהפעילות • מחקר של ESET חושף כי למעלה מעשר קבוצות תקופה מנצלות את הפגיעות ויותר מ-5,000 שרתים נפגעו • השרתים שנפגעו שייכים לארגונים עסקיים וממשלות מרחבי העולם כולל פרופילים גבוהים
אהרון סוויסה 10.03.2021למעלה מעשר קבוצות תקיפה שונות מנצלות את הפגיעויות האחרונות ב-Microsoft Exchange כדי לתקוף את שרתי הדוא"ל, כך מגלה מחקר של חברת אבטחת המידע ESET.
יותר מ-5,000 שרתי דוא"ל שהושפעו מהפעילות הזדונית הקשורה לאירוע, זוהו במחקר. השרתים שייכים לארגונים עסקיים ולממשלות כאחד, מרחבי העולם, כולל פרופילים גבוהים. לפיכך, האיום אינו מוגבל רק לקבוצת התקיפה עליה דווח כמנצלת העיקרית של הפגיעות, הפניום (Hafnium).
בתחילת מרץ פרסמה מיקרוסופט תיקונים עבור שרתי Exchange 2013, 2016, ו-2019 המתקנים סדרה של פגיעויות בהרצת קוד מרחוק (RCE). הפגיעות מאפשרת לתוקף להשתלט על כל שרת Exchange אליו ניתן להגיע, ללא צורך בידיעת פרטי החשבון והכניסה, מה שהופך את שרתי Exchange המחוברים לאינטרנט לפגיעים במיוחד.
מתיה פאו, חוקר ב-ESET, מסביר כי "יום לאחר ששוחררו התיקונים, התחלנו לראות תוקפים סורקים שרתי Exchange פגועים. מעניין לדעת שכל הקבוצות מתמקדות בריגול למעט קבוצה אחת שמתמקדת בקמפיינים של כריית מטבעות. עם זאת, אנו ככל הנראה נראה יותר ויותר תוקפים, כולל מפעילי מתקפות כופר, שמשיגים גישה לשרתים הללו במוקדם או במאוחר." החוקרים של ESET הבחינו כי חלק מקבוצות התקיפה ניצלו את הפגיעות עוד לפני ששוחררו התיקונים, "המשמעות היא שנוכל להשליך את האפשרות שקבוצות אלו בנו יכולות ניצול על ידי הנדסה הפוכה של עדכוני מיקרוסופט", מוסיף פאו.
נתוני הטלמטריה של ESET מסמנים את נוכחותם של webshells (תוכנות וסקריפטים זדוניים המאפשרים שליטה מרחוק בשרת באמצעות דפדפן אינטרנט) ביותר מ-5,000 שרתים ייחודיים בלמעלה מ-115 מדינות.
זיהויים שעתיים של ESET עבור webshells של אחת מהפגיעויות האחרונות ב-Exchange
אירוע ממונף
ESET זיהתה יותר מעשרה גורמי איום שונים אשר ככל הנראה מינפו את הפגיעות האחרונה על מנת להתקין תוכנות זדוניות כמו webshells ודלתות אחוריות על שרתי הדוא"ל של הקורבנות. בחלק מהמקרים כמה גורמי איום כיוונו אפילו לאותו הארגון.
בין קבוצות האיום ניתן למצוא את: Tick, LuckyMouse, Calypso, Webstiic, Winnti Group, Tonto Team, ShadowPad Activity ועוד.
"חשוב לתקן ולטפל בשרתי ה-Exchange (כולל אלו אשר לא חשופים לאינטרנט באופן ישיר) בהקדם האפשרי וללא דחיה. במקרים של סיכון, מנהלי המערכות צריכים להסיר את ה-webshells, לעדכן פרטי כניסה ולחקור אחר כל פעילות זדוניות נוספת. האירוע הוא תזכורת טובה לכך שיישומים מורכבים כמו Microsoft Exchange, או SharePoint לא צריכים להיות פתוחים לאינטרנט" מייעץ פאו.