«USAs nasjonale sikkerhetsbyrå (NSA) har publisert et sikkerhetsvarsel som varsler om en ny bølge av nettangrep mot e-postservere, angrep utført av en av Russlands mest avanserte cyberspionasjeenheter.
NSA sier at medlemmer av Unit 74455 fra GRU Main Center for Special Technologies (GTsST), en avdeling av den russiske militære etterretningstjenesten, har angrepet e-postservere som kjører Exim-postoverføringsagenten (MTA).
Også kjent som “Sandorm,” denne gruppen har hacket Exim-servere siden august 2019 ved å utnytte en kritisk sårbarhet sporet som CVE-2019-10149.
Da Sandworm utnyttet CVE-2019-10149, offermaskinen ville deretter laste ned og kjøre et shell-skript fra et Sandworm-kontrollert domene. Dette shell script ville:
⚠️Legg til privilegerte brukere
⚠️Deaktiver nettverkssikkerhetsinnstillinger
⚠️Oppdater SSH-konfigurasjoner for å aktivere ytterligere ekstern tilgang
⚠️Kjør et ekstra skript for å muliggjøre etterfølgende utnyttelse
NSA advarer nå private og offentlige organisasjoner om å oppdatere Exim-serverne til versjon 4.93 og se etter tegn på kompromiss.
Sandworm-gruppen har vært aktiv siden midten av 2000-tallet og antas å være hackergruppen som utviklet BlackEnergy malware som forårsaket blackout i Ukraina i desember 2015 og desember 2016, og gruppen som utviklet den beryktede NotPetya løsepengevaren som forårsaket skader for milliarder av amerikanske dollar til selskaper over hele verden.
Det regnes for tiden som en av de to mest avanserte russiske statsstøttede hackergruppene, sammen med Turla.
