„Агенцията за национална сигурност на САЩ (НСА) публикува предупреждение за сигурност, предупреждаващо за нова вълна от кибератаки срещу имейл сървъри, атаки, извършени от една от най-модерните звена за кибершпионаж в Русия.
NSA казва, че членовете на зв 74455 на Главния център за специални технологии на ГРУ (ГЦСТ), подразделение на руското военно разузнаване, са атакували имейл сървъри, работещи с агента за прехвърляне на поща Exim (MTA).
Известен също като “пясъчен червей,” тази група хаква сървъри на Exim от август 2019 чрез използване на критична уязвимост, проследена като CVE-2019-10149.
Когато Sandworm експлоатира CVE-2019-10149, машината жертва впоследствие ще изтегли и изпълни shell скрипт от домейн, контролиран от Sandworm. Този шел скрипт би:
⚠️Добавяне на привилегировани потребители
⚠️Деактивирайте настройките за защита на мрежата
⚠️Актуализирайте SSH конфигурациите, за да активирате допълнителен отдалечен достъп
⚠️Изпълнете допълнителен скрипт, за да активирате последващо използване
NSA сега предупреждава частни и държавни организации да актуализират своите Exim сървъри до версия 4.93 и търсете признаци на компромис.
Групата Sandworm е активна от средата на 2000-те години и се смята, че е хакерската група, разработила злонамерения софтуер BlackEnergy, който причини спиране на тока в Украйна през декември 2015 и декември 2016, и групата, която разработи прочутия рансъмуер NotPetya, който причини щети за милиарди щатски долари на компании по целия свят.
В момента се смята за една от двете най-напреднали руски хакерски групи, спонсорирани от държавата, заедно с Турла.
