АНБ США предупредило о новой волне кибератак на почтовые серверы

29 мая 2020 года

В четверг, 28 мая, Агентство национальной безопасности США опубликовало уведомление безопасности, предупреждающее о новой волне кибератак на почтовые серверы.

Согласно уведомлению, с августа прошлого года киберпреступная группа Sandworm атакует серверы, на которых установлен агент пересылки сообщений Exim. Киберпреступники эксплуатируют известную уязвимость CVE-2019-10149, позволяющую удаленно выполнять код. После эксплуатации уязвимости с подконтрольного злоумышленникам домена на атакуемую систему загружается и выполняется shell-скрипт. Этот shell-скрипт может добавлять новых привилегированных пользователей, отключать настройки безопасности сети, обновлять конфигурацию SSH для включения дополнительного удаленного доступа и выполнять дополнительные скрипты для последующей эксплуатации.

АНБ рекомендовало частным и государственным организациям обновить свои серверы Exim до версии 4.93 и проверить их на наличие следов компрометации (индикаторы компрометации перечислены в уведомлении безопасности АНБ, ссылка на которое указана выше).

Начало активности Sandworm приходится на середину 2000-х годов. Предполагается, что именно она является разработчиком вредоносного ПО BlackEnergy, атаковавшего украинские электроэнергетические компании в декабре 2015-го и декабре 2016 годов. Кроме того, группировке приписывается создание вымогательского ПО NotPetya, принесшее миллиардные убытки по всему миру.

Уязвимость CVE-2019-10149 была раскрыта в июне 2019 года, и в течение недели ее активно начали эксплуатировать киберпреступники.

Источники

править
 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.