Брайан Кребс: Ваши серверы Microsoft Exchange взломал не я
29 марта 2021 года
В деле о массовых взломах серверов Microsoft Exchange появились новые данные, указывающие на возможную причастность к нему известного журналиста Брайана Кребса, специализирующегося на тематике ИБ. Однако Кребс поспешил заверить, что не имеет к атакам никакого отношения, и хакеры нарочно использовали его имя в целях в очередной раз ему досадить.
Специалисты некоммерческой ИБ-организации Shadowserver Foundation фиксируют одну волну атак на Microsoft Exchange за другой после того, как стало известно об уязвимостях ProxyLogon. Для отслеживания атак они не только сканируют интернет, но и расставляют ловушки (ханипоты) – уязвимые серверы, на которые «клюют» злоумышленники, тем самым позволяя исследователям изучить их инструменты и тактики.
В атаках на Microsoft Exchange киберпреступные группировки по всему миру используют сотни уникальных web-оболочек (бэкдоров), предоставляющих им полный контроль над взломанными серверами. Интересно, что специалисты Shadowserver Foundation выявили 21 248 скомпрометированных серверов Microsoft Exchange, на которых был установлен бэкдор, подключающийся к домену brian[.]krebsonsecurity[.]top.
26 марта нынешнего года эксперты зафиксировали попытку установить на взломанный сервер новый бэкдор. На каждом атакованном хосте web-оболочка устанавливалась в одном и том же месте – /owa/auth/babydraco.aspx. Для исследователей, к тому времени уже успевших зафиксировать 367 известных путей, куда устанавливались бэкдоры на взломанных серверах, этот путь был новым.
OWA означает Outlook Web Access – подключенная к интернету часть локальных установок Microsoft Exchange. Ханипоты Shadowserver зафиксировали множество хостов с бэкдором Babydraco, запускающим скрипт Microsoft Powershell для извлечения файла “krebsonsecurity.exe” по IP-адресу 159.65.136[.]128. В настоящее время ни один из представленных на Virustotal.com нескольких десятков антивирусных инструментов для сканирования файлов не детектирует этот файл как вредоносный.
Файл Krebsonsecurity устанавливает корневой сертификат, модифицирует реестр системы и дает Windows Defender команду не сканировать его. Файл также пытается установить зашифрованное соединение между сервером и упомянутым выше IP-адресом и каждую минуту отправлять на него небольшое количество трафика.
Исследователи обнаружили боле 21 тыс. установок Microsoft Exchange с бэкдором Babydraco, но на скольких из них также запущен вторичный файл с поддельного домена Krebsonsecurity, неизвестно.
С какой целью был подделан домен Krebonsecurity, также непонятно. Однако подделка непосредственно связана с недавней киберпреступной активностью, направленной на то, чтобы досадить Кребсу.
Впервые журналист узнал о поддельном домене в декабре 2020 года от одного из своих читателей, чья компьютерная сеть домашней лаборатории была взломана ботнетом для майнинга криптовалюты. Криптомайнер указывал на домен XXX-XX-XXX.krebsonsecurity.top, где вместо XXX-XX-XXX использовался номер социального страхования Брайана Кребса.
Как пояснил сам журналист, это не первый случай, когда киберпреступники используют в своем вредоносном ПО или другом контенте его имя, торговую марку или похожие на Krebonsecurity сайты с целью досадить журналисту или испортить его репутацию.
Источники
правитьЭта статья содержит материалы из статьи «Брайан Кребс: Ваши серверы Microsoft Exchange взломал не я», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.