‘De Amerikaanse National Security Agency (NSA) heeft een beveiligingswaarschuwing gepubliceerd voor een nieuwe golf van cyberaanvallen op e-mailservers, aanvallen uitgevoerd door een van de meest geavanceerde cyberspionage-eenheden van Rusland.
De NSA zegt dat leden van Unit 74455 van het GRU Main Center for Special Technologies (GTsST), een divisie van de Russische militaire inlichtingendienst, hebben e-mailservers aangevallen waarop de Exim-mailoverdrachtagent draait (MTA).
Also known as “Sandworm,” this group has been hacking Exim servers since August 2019 door misbruik te maken van een kritieke kwetsbaarheid die wordt gevolgd als CVE-2019-10149.
Toen Sandworm CVE-2019-10149 uitbuitte, de slachtoffermachine zou vervolgens een shell-script downloaden en uitvoeren vanuit een door Sandworm gecontroleerd domein. Dit shell-script zou:
⚠️Bevoegde gebruikers toevoegen
⚠️ Schakel de netwerkbeveiligingsinstellingen uit
⚠️ Werk SSH-configuraties bij om extra externe toegang mogelijk te maken
⚠️Voer een extra script uit om vervolginput mogelijk te maken
De NSA waarschuwt nu particuliere en overheidsorganisaties om hun Exim-servers bij te werken naar versie 4.93 en zoek naar tekenen van een compromis.
De Sandworm-groep is actief sinds het midden van de jaren 2000 en wordt verondersteld de hackergroep te zijn die de BlackEnergy-malware heeft ontwikkeld die in december een black-out veroorzaakte in Oekraïne. 2015 en december 2016, en de groep die de beruchte NotPetya-ransomware ontwikkelde die bedrijven over de hele wereld miljarden dollars schade toebracht.
Het wordt momenteel beschouwd als een van de twee meest geavanceerde door de Russische staat gesponsorde hackgroepen, samen met Turla.
