APT-группировки активно эксплуатируют 0Day-уязвимости в Microsoft Exchange

APT-группировки активно эксплуатируют 0Day-уязвимости в Microsoft Exchange

Alexander Antipov

Помимо APT27, Tick и Calypso, уязвимости начали использовать группировки Winnti Group, Tonto Team, Mikroceen и в ходе вредоносной кампании Websiic.

С каждым днем растет количество спонсируемых иностранными государствами хакерских группировок, которые присоединяются к текущей вредоносной кампании по эксплуатации уязвимостей нулевого дня ProxyLogon в тысячах локальных серверов Microsoft Exchange.

В начале марта стало известно, что уязвимости начала активно использовать работающая на китайское правительство APT-группировка Hafnium. Хакеры использовали подключенные к интернету серверы жертв в качестве точки входа во внутренние сети. Как сообщили специалисты из компании ESET, вслед за Hafnium эксплуатировать уязвимости ProxyLogon начали три других хакерских группировки (APT27, Bronze Butler/Tick и Calypso), поддерживаемых Китаем.

По результатам телеметрии ESET web-оболочки были развернуты на более чем 5 тыс. уникальных серверах Exchange в более чем 115 странах.

Теперь стало известно, что помимо APT27, Tick и Calypso, в новый список ESET также входят группировки Winnti Group, Tonto Team, Mikroceen и недавно обнаруженная вредоносная кампания Websiic. При анализе данных телеметрии обнаружена активность вредоноса ShadowPad, маяк Cobalt Strike для браузера Opera, бэкдор IIS и активность криптовалютного майнера DLTMiner.

Операторы ShadowPad взломали почтовые серверы разработчика программного обеспечения, расположенного в Азии, и компании, занимающейся недвижимостью на Ближнем Востоке.

Маяк Cobalt Strike для Opera был нацелен на 650 серверов, в основном в США, Германии, Великобритании и других европейских странах, всего через несколько часов после выпуска исправлений для уязвимостей.

Бэкдоры IIS были установлены через web-оболочки, используемые в ходе вредоносной кампании, на четырех почтовых серверах в Азии и Южной Америке. Один из бэкдоров известен под названием Owlproxy.

Также специалисты выявили развертывание PowerShell-загрузчиков криптовалютного майнера DLTMiner на нескольких почтовых серверах.


Хакеры перехватывают звонки с айфона, кибервойна угрожает обычным гражданам, небезопасный пароль стал причиной атаки на SolarWinds, а у APT-группировок «отобрали» 4 0-day. Подробнее в нашем Youtube выпуске.


Источник: Securitylab