В массовые атаки на Microsoft Exchange включились все кому не лень

В массовые атаки на Microsoft Exchange включились все кому не лень

В текущих массовых атаках на Microsoft Exchange участвует множество группировок, начиная от APT и заканчивая майнерами.

Текущая хакерская операция, в рамках которой злоумышленники массово атакуют серверы Microsoft Exchange по всему миру, менее чем за неделю разрослась настолько, что в нее включились и правительственные хакеры, и финансово ориентированные киберпреступники.

Злоумышленники атакуют серверы Microsoft Exchange через четыре уязвимости ProxyLogon, в экстренном порядке исправленные Microsoft на прошлой неделе. Совокупная эксплуатация этих уязвимостей позволяет атакующим авторизоваться на сервере с правами администратора и устанавливать вредоносные программы.

Две из четырех уязвимостей были обнаружены еще в прошлом году исследователем из DEVCORE Оранжем Цаем (Orange Tsai), сообщившим о них Microsoft в начале января. Компания планировала исправить их с выходом мартовских плановых обновлений безопасности, но узнав о том, что они уже используются в реальных атаках, выпустила внеплановые патчи.

По данным Microsoft, изначально за атаками стояла хакерская группировка Hafnium, связываемая экспертами с правительством Китая. Однако, если первые атаки в январе были целенаправленными и избирательными, то в преддверие выхода исправлений в конце февраля началась волна массовых атак, которую глава ИБ-компании FireEye Кевин Мандиа (Kevin Mandia) сравнил с пулеметным обстрелом.

Как стало известно к 5 марта, к атакам на Microsoft Exchange присоединились «все кому не лень». К примеру, специалисты ИБ-компании ESET зафиксировали атаки APT-групп, в том числе LuckyMouse, Tick и Calypso, а также ряда не связанных с ними, пока неидентифицированных группировок.

Эксперты из FireEye тоже сообщили об атаках нескольких группировок, которые они отслеживают как UNC2639, UNC2640 и UNC2643. Атаки разных группировок подтверждает и сама Microsoft (в обновлении к оригинальной публикации в блоге о Hafnium). Более того, по данным ИБ-компании Red Canary, одна из группировок устанавливает на взломанные серверы майнер криптовалюты DLTminer.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!