Киберпреступная группа Sandworm атакует серверы с уязвимым агентом пересылки сообщений Exim.
https://www.securitylab.ru/upload/ib...688f38456e.png
В четверг, 28 мая, Агентство национальной безопасности США https://media.defense.gov/2020/May/2...2020200528.pdfуведомление безопасности, предупреждающее о новой волне кибератак на почтовые серверы.
Согласно уведомлению, с августа прошлого года киберпреступная группа Sandworm атакует серверы, на которых установлен агент пересылки сообщений Exim. Киберпреступники эксплуатируют известную уязвимость https://www.securitylab.ru/vulnerability/499371.php , позволяющую удаленно выполнять код. После эксплуатации уязвимости с подконтрольного злоумышленникам домена на атакуемую систему загружается и выполняется shell-скрипт. Этот shell-скрипт может добавлять новых привилегированных пользователей, отключать настройки безопасности сети, обновлять конфигурацию SSH для включения дополнительного удаленного доступа и выполнять дополнительные скрипты для последующей эксплуатации.
АНБ рекомендовало частным и государственным организациям обновить свои серверы Exim до версии 4.93 и проверить их на наличие следов компрометации (индикаторы компрометации перечислены в уведомлении безопасности АНБ, ссылка на которое указана выше).
Начало активности Sandworm приходится на середину 2000-х годов. Предполагается, что именно она является разработчиком вредоносного ПО BlackEnergy, атаковавшего украинские электроэнергетические компании в https://www.securitylab.ru/news/477942.php и https://www.securitylab.ru/news/485356.php. Кроме того, группировке https://www.securitylab.ru/news/487093.phpсоздание вымогательского ПО NotPetya, принесшее миллиардные убытки по всему миру.
Уязвимость CVE-2019-10149 была раскрыта в июне 2019 года, и в течение недели ее активно начали https://www.securitylab.ru/news/500030.phpкиберпреступники.