leonard17

Category:

АНБ - российские хакеры атакуют почтовые серверы Exim

Агентство национальной безопасности (АНБ) США опубликовало предупреждение, согласно которому русскоязычная хак-группа Sandworm (она же BlackEnergy) атакует серверы Exim.

Напомню, что, по мнению экспертов, Sandworm активна примерно с середины 2000-х годов . Считается, что именно эта группировка разработала малварь BlackEnergy, вызвавшую отключение электроэнергии в Украине, а также группа может быть связана с печально известным шифровальщиком NotPetya.

АНБ сообщает, что с августа 2019 года хакеры из Sandworm атакуют почтовые серверы, на которых работает агент передачи сообщений Exim. Для взлома злоумышленники используют  критическую уязвимость­ CVE-2019-10149, обнаруженную еще прошлым летом и сразу взятую на вооружение многими злоумышленниками.

Почти половина почтовых серверов работает под управлением Exim. Согласно статистике, по данным на 1 мая 2020 года, только половина всех Exim-серверов была обновлена ​​до версии 4.93 или более поздней. То есть целей для атак по-прежнему предостаточно.

После взлома на скомпрометированные серверы загружается и выполняется специальный shell-скрипт, который способен:

    добавить привилегированных пользователей;

    отключить настройки безопасности сети;

    обновить конфигурации SSH, чтобы дать хакерам дополнительный удаленный доступ;

    выполнить еще один скрипт для продолжения атаки.

АНБ напоминает частным и правительственным организациям о необходимости обновления серверов Exim до версии 4.93, а также о том, что не лишним будет и поискать индикаторы компрометации, доступные в предупреждении агентства.

Error

default userpic

Your IP address will be recorded 

When you submit the form an invisible reCAPTCHA check will be performed.
You must follow the Privacy Policy and Google Terms of use.