Diario Informe

Otros grupos de hackers se suman al frenesí de los ataques de Microsoft Exchange

Otros grupos de hackers se suman al frenesí de los ataques de Microsoft Exchange

Otros grupos de piratas informáticos patrocinados por el estado se han unido a los ataques en curso dirigidos a decenas de miles de servidores Exchange locales afectados por vulnerabilidades graves detectadas, como ProxyLogon.

Después del informe inicial de Microsoft de que las vulnerabilidades estaban siendo explotadas activamente por un grupo chino de APT llamado Hafnium, la empresa de seguridad de Internet eslovaca ESET compartió información sobre al menos otros tres grupos de hackers respaldados por China que abusaron de las fallas de ProxyLogon en los ataques en curso.

Además de estos tres (APT27, Bronze Butler, también conocido como Tick y Calypso), ESET también afirmó haber identificado varios "grupos adicionales sin clasificar".

En una actualización del viernes a su anuncio, Microsoft Ella dijo que muchos otros actores de amenazas "más allá de HAFNIUM" también están explotando los cuatro defectos críticos de Exchange.

Según la telemetría (incompleta) de ESET, los shells web ya se han implementado en más de 5,000 servidores Exchange únicos de más de 115 países.

Los países donde se implementaron web shells en Exchange durante los ataques
Encuestas de Webshell por país (ESET)
Índice de contenidos
  1. Servidores de Exchange atacados por varios grupos de piratas informáticos
  2. Más de 46.000 servidores siguen expuestos a ataques

Servidores de Exchange atacados por varios grupos de piratas informáticos

ESET ha publicado un nuevo informe que indica que los servidores Exchange sin parches están siendo perseguidos por "al menos 10 grupos APT. "

Además de las APT mencionadas anteriormente (APT27, Tick y Calypso), la nueva lista de ESET también incluye a Winnti Group (APT41), Tonto Team, Mikroceen y un actor de amenazas recientemente detectado llamado Websiic.

Al analizar los datos de telemetría, la compañía también identificó ShadowPad, "Opera" Cobalt Strike, la puerta trasera de IIS y la actividad de DLTMiner por grupos APT desconocidos.

ESET también proporcionó un breve resumen de las actividades maliciosas de estos grupos de amenazas y clústeres de comportamiento:

  • Tick ​​(Bronze Butler): comprometió el servidor web de una empresa con sede en el este de Asia que proporciona servicios de TI. Como fue el caso de LuckyMouse y Calypso, el grupo probablemente tuvo acceso a un exploit antes de que se lanzaran los parches.
  • LuckyMouse (APT27): comprometió el servidor de correo electrónico de una entidad gubernamental en el Medio Oriente. Este grupo de APT probablemente tuvo un exploit al menos un día antes de que se lanzaran los parches, cuando todavía era de día cero.
  • Calypso: servidores de correo electrónico comprometidos de entidades gubernamentales en el Medio Oriente y América del Sur. El grupo probablemente accedió al exploit como un día cero. Durante los próximos días, los operadores de Calypso apuntaron a servidores adicionales de agencias gubernamentales y empresas privadas en África, Asia y Europa.
  • Websiic: se dirigió a siete servidores de correo electrónico pertenecientes a empresas privadas (en los sectores de TI, telecomunicaciones e ingeniería) en Asia y una agencia gubernamental en Europa del Este.
  • Winnti Group: ha comprometido los servidores de correo electrónico de una empresa petrolera y una empresa de maquinaria de construcción en Asia. El grupo probablemente tuvo acceso a un exploit antes de que se lanzaran los parches.
  • Tonto Team: ha comprometido los servidores de correo electrónico de una empresa de adquisiciones y una empresa de consultoría especializada en desarrollo de software y ciberseguridad, ambas con sede en Europa del Este.
  • Actividad de ShadowPad: comprometió los servidores de correo electrónico de una empresa de desarrollo de software con sede en Asia y una empresa de bienes raíces con sede en Oriente Medio. ESET ha detectado una variante de la puerta trasera ShadowPad lanzada por un grupo desconocido.
  • El Cobalt Strike "Opera" apuntó a alrededor de 650 servidores, principalmente en los Estados Unidos, Alemania, Reino Unido y otros países europeos, pocas horas después de que se lanzaron los parches.
  • Puertas traseras de IIS: ESET señaló que las puertas traseras de IIS se instalan a través de shells web utilizados en estos compromisos en cuatro servidores de correo electrónico ubicados en Asia y América del Sur. Una de las puertas traseras se conoce públicamente como Owlproxy.
  • Mikroceen: comprometió el servidor de intercambio de una empresa de servicios públicos en Asia Central, que es la región a la que suele dirigirse este grupo.
  • DLTMiner: ESET detectó la implementación de descargadores de PowerShell en varios servidores de correo electrónico que anteriormente eran atacados mediante vulnerabilidades de Exchange. La infraestructura de red utilizada en este ataque está vinculada a una campaña de minería de monedas informada anteriormente.

"Ahora es claramente más allá del mejor momento para parchear todos los servidores Exchange lo antes posible", concluyó ESET.

"Incluso aquellos que no están directamente expuestos a Internet deben recibir parches porque un atacante con acceso limitado o sin privilegios a su LAN puede explotar trivialmente estas vulnerabilidades para aumentar sus privilegios mientras compromete un servidor de Exchange interno (y posiblemente más sensible) y, por lo tanto, se mueva lateralmente desde eso. "

Se puede encontrar información detallada sobre los servidores comprometidos por estos grupos de piratas informáticos y los actores de amenazas detrás de la actividad maliciosa aún no atribuida, incluidos los indicadores de compromiso, en El informe de ESET.

ProxyLogon ataca la historia
ProxyLogon ataca la historia (ESET)

Más de 46.000 servidores siguen expuestos a ataques

Después de escanear 250.000 servidores Exchange en todo el mundo, el Instituto Holandés de Divulgación de Vulnerabilidades (DIVD) informó el martes encontró 46.000 servidores sin parchear contra vulnerabilidades de ProxyLogon muy explotadas.

Microsoft corrigió las vulnerabilidades críticas el 2 de marzo, con actualizaciones de seguridad adicionales lanzadas por la compañía esta semana para múltiples versiones no compatibles de Exchange.

Redmond también ha actualizado la herramienta Microsoft Safety Scanner (MSERT) para ayudar a los clientes a detectar shells web implementados en ataques continuos a Exchange Server.

Puede encontrar más información sobre la instalación de actualizaciones de seguridad en este artículo publicado por el equipo de Microsoft Exchange.

Si aún no ha parcheado y encontró signos de compromiso, debe eliminar los shells web distribuidos por los atacantes, cambiar todas las credenciales e investigar más actividades maliciosas en sus servidores.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings