АНБ США предупредило о новой волне кибератак на почтовые серверы

АНБ США предупредило о новой волне кибератак на почтовые серверы

Киберпреступная группа Sandworm атакует серверы с уязвимым агентом пересылки сообщений Exim.

В четверг, 28 мая, Агентство национальной безопасности США опубликовало уведомление безопасности, предупреждающее о новой волне кибератак на почтовые серверы.

Согласно уведомлению, с августа прошлого года киберпреступная группа Sandworm атакует серверы, на которых установлен агент пересылки сообщений Exim. Киберпреступники эксплуатируют известную уязвимость CVE-2019-10149 , позволяющую удаленно выполнять код. После эксплуатации уязвимости с подконтрольного злоумышленникам домена на атакуемую систему загружается и выполняется shell-скрипт. Этот shell-скрипт может добавлять новых привилегированных пользователей, отключать настройки безопасности сети, обновлять конфигурацию SSH для включения дополнительного удаленного доступа и выполнять дополнительные скрипты для последующей эксплуатации.

АНБ рекомендовало частным и государственным организациям обновить свои серверы Exim до версии 4.93 и проверить их на наличие следов компрометации (индикаторы компрометации перечислены в уведомлении безопасности АНБ, ссылка на которое указана выше).

Начало активности Sandworm приходится на середину 2000-х годов. Предполагается, что именно она является разработчиком вредоносного ПО BlackEnergy, атаковавшего украинские электроэнергетические компании в декабре 2015-го и декабре 2016 годов . Кроме того, группировке приписывается создание вымогательского ПО NotPetya, принесшее миллиардные убытки по всему миру.

Уязвимость CVE-2019-10149 была раскрыта в июне 2019 года, и в течение недели ее активно начали эксплуатировать киберпреступники.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!