NSA heeft een ernstige waarschuwing gepubliceerd!!!

‘The US National Security Agency (NSA) heeft een beveiligingswaarschuwing gepubliceerd voor een nieuwe golf van cyberaanvallen op e-mailservers, attacks conducted by one of Russia’s most advanced cyber-espionage units.

De NSA zegt dat leden van Unit 74455 van het GRU Main Center for Special Technologies (GTsST), een divisie van de Russische militaire inlichtingendienst, hebben e-mailservers aangevallen waarop de Exim-mailoverdrachtagent draait (MTA).

Also known as “Sandworm,” this group has been hacking Exim servers since August 2019 door misbruik te maken van een kritieke kwetsbaarheid die wordt gevolgd als CVE-2019-10149.

Toen Sandworm CVE-2019-10149 uitbuitte, de slachtoffermachine zou vervolgens een shell-script downloaden en uitvoeren vanuit een door Sandworm gecontroleerd domein. Dit shell-script zou:
⚠️Add privileged users
⚠️Disable network security settings
⚠️Update SSH configurations to enable additional remote access
⚠️Execute an additional script to enable follow-on exploitation

De NSA waarschuwt nu particuliere en overheidsorganisaties om hun Exim-servers bij te werken naar versie 4.93 en zoek naar tekenen van een compromis.

De Sandworm-groep is actief sinds het midden van de jaren 2000 en wordt verondersteld de hackergroep te zijn die de BlackEnergy-malware heeft ontwikkeld die in december een black-out veroorzaakte in Oekraïne. 2015 en december 2016, en de groep die de beruchte NotPetya-ransomware ontwikkelde die bedrijven over de hele wereld miljarden dollars schade toebracht.

Het wordt momenteel beschouwd als een van de twee meest geavanceerde door de Russische staat gesponsorde hackgroepen, samen met Turla.