A ESET descobriu mais de uma dúzia de grupos APT (Advanced Persistent Threat) explorando vulnerabilidades no Microsoft Exchange para comprometer os servidores de e-mail. A empresa de segurança da informação identificou mais de 5.000 servidores de e-mail em todo o mundo que foram afetados por este incidente e, de acordo com fontes públicas, várias organizações, como a Autoridade Bancária Europeia, sofreram com este ataque.
No início deste mês, a Microsoft lançou um conjunto de patches para as versões 2013, 2016 e 2019 do Exchange Server, que foram usados para resolver uma série de vulnerabilidades que permitiriam a execução de código remota (RCE). Esses erros permitiriam que os invasores controlassem qualquer servidor Exchange sem precisar saber as credenciais de autenticação, tornando os servidores Exchange conectados à Internet especialmente vulneráveis.
"No dia seguinte ao lançamento dos patches, começamos a observar vários grupos invasores verificando e comprometendo massivamente os servidores Exchange. Curiosamente, todos esses ataques estavam sendo realizados por grupos APT especializados em espionagem. No entanto, é inevitável pensar que mais e mais grupos estão aderindo aos ataques, incluindo operadores de ransomware", explicou Matthieu Faou, pesquisador da ESET que está liderando a análise dessa cadeia de vulnerabilidades contra o Exchange.
"A ESET descobriu que alguns grupos APT exploravam as vulnerabilidades antes mesmo de os patches serem lançados, descartando a possibilidade de que esses grupos preparassem as explorações por meio de atualizações de engenharia reversa da Microsoft".
O mapa de calor abaixo mostra a distribuição geográfica de detecções de webshell, com base na telemetria ESET.A ESET identificou mais de 10 grupos diferentes de criminosos que estariam explorando essas vulnerabilidades recentes no Microsoft Exchange para instalar softwares nos servidores de e-mail das vítimas. Depois que a vulnerabilidade foi explorada e o webshell instalado, os pesquisadores observaram tentativas de instalar malware adicional por meio dele. Também foi identificado que, em alguns casos, vários grupos visavam a mesma organização.
Entre os mais de 10 grupos identificados estão:
• LuckyMouse: comprometeu um servidor de e-mail em uma entidade governamental no Oriente Médio. Ele teria tido acesso ao exploit pelo menos um dia antes do lançamento dos patches liberados pela Microsoft.
• Calypso: comprometeu servidores de e-mail em entidades governamentais no Oriente Médio e na América do Sul. O grupo teve acesso ao exploit como zero day. Posteriormente, este grupo atacou entidades públicas e privadas na África, Ásia e Europa.
• Tick: comprometeu um servidor web de uma empresa asiática de serviços de tecnologia. Como LuckyMouse ou Calypso, parece que este grupo teve acesso ao exploit antes de os patches terem sido lançados.
"A recomendação mais clara que podemos fazer é que os patches do Exchange sejam instalados o mais rápido possível. Mesmo para quem não está conectado à Internet. No caso de comprometimento, os administradores de rede devem remover os webshells, modificar as credenciais e investigar qualquer atividade suspeita adicional. O incidente nos lembra que os aplicativos mais críticos como o Exchange ou o SharePoint não devem ser expostos na Internet", finaliza o pesquisador da ESET.