Agency Агентство национальной безопасности США (NSA) опубликовал предупреждение системы безопасности о новой волне кибератак на почтовые серверы, атаки, проведенные одним из самых передовых российских кибершпионажных подразделений.
АНБ говорит, что члены подразделения 74455 Главного центра специальных технологий ГРУ (GTsST), подразделение российской военной разведки, атаковали почтовые серверы, на которых работал агент передачи почты exim (MTA).
Также известный как “песчаный червь,” эта группа взломала серверы exim с августа 2019 с помощью критической уязвимости, отслеживаемой как CVE-2019-10149.
Когда Sandworm эксплуатируется CVE-2019-10149, компьютер-жертва впоследствии загрузит и выполнит сценарий оболочки из домена, контролируемого Sandworm. Этот сценарий оболочки будет:
PrivileДобавить привилегированных пользователей
SettingsОтключить настройки безопасности сети
Обновите настройки SSH, чтобы включить дополнительный удаленный доступ.
Ecu Выполните дополнительный сценарий, чтобы включить последующую эксплуатацию
АНБ теперь предупреждает частные и правительственные организации, чтобы они обновили свои серверы Exim до версии 4.93 и искать признаки компромисса.
Группа Sandworm была активна с середины 2000-х годов и считается хакерской группой, которая разработала вредоносное ПО BlackEnergy, которое вызвало отключение электроэнергии в Украине в декабре 2015 и декабрь 2016, и группа, которая разработала печально известную программу-вымогатель NotPetya, которая нанесла ущерб миллиардам долларов США компаниям во всем мире.
В настоящее время он считается одной из двух самых современных российских хакерских групп, спонсируемых государством., вместе с Турлой.
