Агентство национальной безопасности (АНБ) США опубликовало предупреждение, согласно которому русскоязычная хак-группа Sandworm (она же BlackEnergy) атакует серверы Exim.
Напомню, что, по мнению экспертов, Sandworm активна примерно с середины 2000-х годов . Считается, что именно эта группировка разработала малварь BlackEnergy, вызвавшую отключение электроэнергии в Украине, а также группа может быть связана с печально известным шифровальщиком NotPetya.
АНБ сообщает, что с августа 2019 года хакеры из Sandworm атакуют почтовые серверы, на которых работает агент передачи сообщений Exim. Для взлома злоумышленники используют критическую уязвимость CVE-2019-10149, обнаруженную еще прошлым летом и сразу взятую на вооружение многими злоумышленниками.
Почти половина почтовых серверов работает под управлением Exim. Согласно статистике, по данным на 1 мая 2020 года, только половина всех Exim-серверов была обновлена до версии 4.93 или более поздней. То есть целей для атак по-прежнему предостаточно.
После взлома на скомпрометированные серверы загружается и выполняется специальный shell-скрипт, который способен:
- добавить привилегированных пользователей;
- отключить настройки безопасности сети;
- обновить конфигурации SSH, чтобы дать хакерам дополнительный удаленный доступ;
- выполнить еще один скрипт для продолжения атаки.
АНБ напоминает частным и правительственным организациям о необходимости обновления серверов Exim до версии 4.93, а также о том, что не лишним будет и поискать индикаторы компрометации, доступные в предупреждении агентства.