APT-группировки активно эксплуатируют 0Day-уязвимости в Microsoft Exchange

MrMagic

Созидатель
Сообщения
10
Симпатии
0
Баллы
36
Помимо APT27, Tick и Calypso, уязвимости начали использовать группировки Winnti Group, Tonto Team, Mikroceen и в ходе вредоносной кампании Websiic.

С каждым днем растет количество спонсируемых иностранными государствами хакерских группировок, которые присоединяются к текущей вредоносной кампании по эксплуатации уязвимостей нулевого дня ProxyLogon в тысячах локальных серверов Microsoft Exchange.
В начале марта стало известно, что уязвимости начала активно использовать работающая на китайское правительство APT-группировка Hafnium. Хакеры использовали подключенные к интернету серверы жертв в качестве точки входа во внутренние сети. Как сообщили специалисты из компании ESET, вслед за Hafnium эксплуатировать уязвимости ProxyLogon начали три других хакерских группировки (APT27, Bronze Butler/Tick и Calypso), поддерживаемых Китаем.
По результатам телеметрии ESET web-оболочки были развернуты на более чем 5 тыс. уникальных серверах Exchange в более чем 115 странах.
Теперь стало известно, что помимо APT27, Tick и Calypso, в новый список ESET также входят группировки Winnti Group, Tonto Team, Mikroceen и недавно обнаруженная вредоносная кампания Websiic. При анализе данных телеметрии обнаружена активность вредоноса ShadowPad, маяк Cobalt Strike для браузера Opera, бэкдор IIS и активность криптовалютного майнера DLTMiner.
Операторы ShadowPad взломали почтовые серверы разработчика программного обеспечения, расположенного в Азии, и компании, занимающейся недвижимостью на Ближнем Востоке.
Маяк Cobalt Strike для Opera был нацелен на 650 серверов, в основном в США, Германии, Великобритании и других европейских странах, всего через несколько часов после выпуска исправлений для уязвимостей.
Бэкдоры IIS были установлены через web-оболочки, используемые в ходе вредоносной кампании, на четырех почтовых серверах в Азии и Южной Америке. Один из бэкдоров известен под названием Owlproxy.
Также специалисты выявили развертывание PowerShell-загрузчиков криптовалютного майнера DLTMiner на нескольких почтовых серверах.
 
Верх