‘A Agência de Segurança Nacional dos EUA (NSA) publicou um alerta de segurança alertando sobre uma nova onda de ataques cibernéticos contra servidores de e-mail, ataques conduzidos por uma das unidades de ciberespionagem mais avançadas da Rússia.
A NSA diz que os membros da Unidade 74455 do Centro Principal de Tecnologias Especiais do GRU (GTsST), uma divisão do serviço de inteligência militar russo, têm atacado servidores de e-mail executando o agente de transferência de e-mail Exim (MTA).
Também conhecido como “Verme da areia,” este grupo vem hackeando servidores Exim desde agosto 2019 explorando uma vulnerabilidade crítica rastreada como CVE-2019-10149.
Quando o Sandworm explorou o CVE-2019-10149, a máquina vítima posteriormente baixaria e executaria um script de shell de um domínio controlado pelo Sandworm. Este script de shell seria:
⚠️Adicionar usuários privilegiados
⚠️Desative as configurações de segurança de rede
⚠️Atualize as configurações SSH para permitir acesso remoto adicional
⚠️Execute um script adicional para permitir a exploração subsequente
A NSA agora está alertando organizações privadas e governamentais para atualizarem seus servidores Exim para a versão 4.93 e procure por sinais de compromisso.
O grupo Sandworm está ativo desde meados dos anos 2000 e acredita-se que seja o grupo de hackers que desenvolveu o malware BlackEnergy que causou um apagão na Ucrânia em dezembro. 2015 e dezembro 2016, e o grupo que desenvolveu o infame ransomware NotPetya que causou danos de bilhões de dólares a empresas em todo o mundo.
Atualmente é considerado um dos dois grupos de hackers patrocinados pelo Estado russo mais avançados., junto com Turla.
