По данным различных фирм по кибербезопасности, продвинутый исполнитель постоянных угроз ToddyCay по-прежнему нацелен на серверы Microsoft Exchange уже более года. Цепочка уязвимостей удаленного выполнения кода с предварительной аутентификацией, отслеживаемая как CVE-2021-26855CVE-2021-26857CVE-2021-26858и CVE-2021-27065, была исправлена Microsoft в марте 2021 года. Уязвимость позволяла злоумышленникам захватывать серверы Exchange даже без известных учетных данных учетной записи. Вскоре после выпуска исправлений злоумышленники начали массовое сканирование серверов.

Правительственные и военные организации

Лаборатория Касперского опубликовала сообщение об угрозе и заявила, что первая волна атак была нацелена исключительно на серверы Microsoft Exchange, которые были скомпрометированы с помощью бэкдора Samurai, который обычно работает на портах 80 и 443. С момента своего первого появления ToddyCat продолжает активно работать, особенно в Азии. Kaspersky также заявил, что они обнаружили много других вариантов в Азии. Касперский также обнаружил другие волны атак на зараженные настольные компьютеры, отправляя вредоносные загрузчики через Telegram. Касперский сказал,

« ToddyCat — это сложная APT-группа, которая использует множество методов, чтобы избежать обнаружения, и, таким образом, сохраняет низкий профиль. В ходе наших расследований мы обнаружили десятки образцов, но, несмотря на количество файлов и продолжительность их активности, мы не смогли отнести атаки к известной группе. »

Исследование показало, что хакерская группа нацелена на известные организации, такие как правительственные и военные организации и военных подрядчиков. ESET заявила, что они выявили более 10 различных субъектов угроз, нацеленных на уязвимость. Они также обнаружили веб-ссылки в файлах конфигурации автономной адресной книги. Некоторые злоумышленники могли перехватывать веб-страницы, отправленные другими группами. Некоторые из обнаруженных ESET атак:

  • 2021-02-28 Tick (также известный как Bronze Butler) взломал веб-сервер компании, базирующейся в Восточной Азии, которая предоставляет ИТ-услуги.
  • 2021-03-01 LuckyMouse взломал почтовый сервер правительственного учреждения на Ближнем Востоке, что означает, что эта группа APT, вероятно, имела доступ к эксплойту по крайней мере за день до выпуска исправления, когда еще был нулевой день.
  • 2021-03-01 Calypso взломал почтовые серверы правительственных организаций на Ближнем Востоке и в Южной Америке, что означает, что группа, вероятно, имела доступ к эксплойту в качестве нулевого дня
  • Начиная с 2021-03-01, исследователи ESET наблюдали новый кластер активности, который мы назвали Websiic, нацеленный на семь почтовых серверов, принадлежащих частным компаниям в Азии и правительственному органу в Восточной Европе.
  • Начиная с 2021-03-02, за несколько часов до выпуска исправления Microsoft, Winnti Group (также известная как BARIUM или APT41) взломала почтовые серверы нефтяной компании и компании по производству строительного оборудования, базирующиеся в Восточной Азии.
  • 2021-03-03 команда Tonto (также известная как CactusPete) взломала почтовые серверы закупочной компании и консалтинговой компании, специализирующейся на разработке программного обеспечения и кибербезопасности, базирующихся в Восточной Европе.
  • Начиная с 2021-03-03, мы наблюдали компрометацию серверов электронной почты в компании по разработке программного обеспечения, базирующейся в Восточной Азии, и в компании по недвижимости, базирующейся на Ближнем Востоке, где злоумышленник уронил ShadowPad.
  • 2021-03-03 в 04:23 утра по Гринвичу, всего через несколько часов после выпуска исправления, мы заметили, что начался еще один набор вредоносных действий.
  • Начиная с 2021-03-03, мы заметили, что на четырех почтовых серверах, расположенных в Азии и Южной Америке, веб-оболочки использовались для установки так называемых бэкдоров IIS.
  • 2021-03-04 группа Mikroceen APT взломала сервер Exchange коммунальной компании в Центральной Азии, на который она нацелена в основном.
  • Начиная с 2021-03-05 в 02:53 по Гринвичу мы обнаружили развертывание загрузчиков PowerShell на нескольких почтовых серверах, которые ранее были нацелены с использованием этих уязвимостей Exchange.

ESET также сказал,

« Наши текущие исследования показывают, что не только Hafnium использует недавнюю уязвимость RCE в Exchange, но и что несколько APT имеют доступ к эксплойту, а некоторые даже сделали это до выпуска исправления. До сих пор неясно, как произошло распространение эксплойта, но неизбежно, что становится все больше и больше жертв угрозы.

Сейчас явно самое время для скорейшего обновления всех серверов Exchange. Даже те, которые не имеют прямого доступа к Интернету, должны быть обновлены, поскольку злоумышленник с ограниченным или непривилегированным доступом к вашей локальной сети может тривиально использовать эти уязвимости для повышения своих привилегий, одновременно ставя под угрозу внутренний (и, возможно, более чувствительный) сервер Exchange, а затем удалиться от него. »