В массовые атаки на Microsoft Exchange включились все кому не лень

Текущая хакерская операция, в рамках которой злоумышленники массово атакуют серверы Microsoft Exchange по всему миру, менее чем за неделю разрослась настолько, что в нее включились и правительственные хакеры, и финансово ориентированные киберпреступники.

Злоумышленники атакуют серверы Microsoft Exchange через четыре уязвимости ProxyLogon, в экстренном порядке исправленные Microsoft на прошлой неделе. Совокупная эксплуатация этих уязвимостей позволяет атакующим авторизоваться на сервере с правами администратора и устанавливать вредоносные программы.

Две из четырех уязвимостей были обнаружены еще в прошлом году исследователем из DEVCORE Оранжем Цаем (Orange Tsai), сообщившим о них Microsoft в начале января. Компания планировала исправить их с выходом мартовских плановых обновлений безопасности, но узнав о том, что они уже используются в реальных атаках, выпустила внеплановые патчи.

По данным Microsoft, изначально за атаками стояла хакерская группировка Hafnium, связываемая экспертами с правительством Китая. Однако, если первые атаки в январе были целенаправленными и избирательными, то в преддверие выхода исправлений в конце февраля началась волна массовых атак, которую глава ИБ-компании FireEye Кевин Мандиа (Kevin Mandia) сравнил с пулеметным обстрелом.

Как стало известно к 5 марта, к атакам на Microsoft Exchange присоединились «все кому не лень». К примеру, специалисты ИБ-компании ESET зафиксировали атаки APT-групп, в том числе LuckyMouse, Tick и Calypso, а также ряда не связанных с ними, пока неидентифицированных группировок.

Эксперты из FireEye тоже сообщили об атаках нескольких группировок, которые они отслеживают как UNC2639, UNC2640 и UNC2643. Атаки разных группировок подтверждает и сама Microsoft (в обновлении к оригинальной публикации в блоге о Hafnium). Более того, по данным ИБ-компании Red Canary, одна из группировок устанавливает на взломанные серверы майнер криптовалюты DLTminer.