Агентство национальной безопасности (АНБ) США опубликовало предупреждение, согласно которому русскоязычная хак-группа Sandworm (она же BlackEnergy) атакует серверы Exim.

Напомню, что, по мнению экспертов, Sandworm активна примерно с середины 2000-х годов . Считается, что именно эта группировка разработала малварь BlackEnergy, вызвавшую отключение электроэнергии в Украине, а также группа может быть связана с печально известным шифровальщиком NotPetya.

АНБ сообщает, что с августа 2019 года хакеры из Sandworm атакуют почтовые серверы, на которых работает агент передачи сообщений Exim. Для взлома злоумышленники используют  критическую уязвимость­ CVE-2019-10149, обнаруженную еще прошлым летом и сразу взятую на вооружение многими злоумышленниками.

Почти половина почтовых серверов работает под управлением Exim. Согласно статистике, по данным на 1 мая 2020 года, только половина всех Exim-серверов была обновлена ​​до версии 4.93 или более поздней. То есть целей для атак по-прежнему предостаточно.

После взлома на скомпрометированные серверы загружается и выполняется специальный shell-скрипт, который способен:

  • добавить привилегированных пользователей;
  • отключить настройки безопасности сети;
  • обновить конфигурации SSH, чтобы дать хакерам дополнительный удаленный доступ;
  • выполнить еще один скрипт для продолжения атаки.

АНБ напоминает частным и правительственным организациям о необходимости обновления серверов Exim до версии 4.93, а также о том, что не лишним будет и поискать индикаторы компрометации, доступные в предупреждении агентства.

1 комментарий

  1. Аватар

    Diflyrest

    02.06.2020 в 02:54

Оставить мнение