TECHBYTE.skTECHBYTE.skTECHBYTE.sk
  • Domov
  • Tech
  • Recenzie
  • Veda
  • Elektromobilita
  • Domácnosť
  • Gaming
Čítaš: Slovenský ESET sa opäť ukázal ako svetový: Odhalil útočníkov, s ktorými bojoval Microsoft!
Zdieľať
TECHBYTE.skTECHBYTE.sk
  • Domov
  • Tech
  • Recenzie
  • Veda
  • Elektromobilita
  • Domácnosť
  • Gaming
Hľadať
  • Domov
  • Tech
  • Recenzie
  • Veda
  • Elektromobilita
  • Domácnosť
  • Gaming
Sleduj TECHBYTE
© 2024 BYTE Media s.r.o. Všetky práva vyhradené.

Slovenský ESET sa opäť ukázal ako svetový: Odhalil útočníkov, s ktorými bojoval Microsoft!

Marek Urban
16. marca 2021
Zdieľať
5 min
Zdieľať

Výskumníci spoločnosti ESET odhalili, že nedávno objavené zraniteľnosti Microsoft Exchange zneužíva viac ako desať rôznych skupín zameraných na pokročilé pretrvávajúce hrozby. Spoločnosť o zisteniach informuje v tlačovej správe.

Cieľom týchto útokov je kompromitovanie mailových serverov. Spoločnosť ESET identifikovala viac ako 5 000 zasiahnutých serverov, ktoré patria aj významným firmám a vládnym organizáciám z celého sveta. Problém sa teda netýka iba skôr medializovanej skupiny Hafnium.

Začiatkom marca vydala spoločnosť Microsoft záplaty pre Exchange Servery 2013, 2016 a 2019, ktoré opravujú sériu RCE (remote code execution) zraniteľností. Tie umožňujú útočníkom zmocniť sa akéhokoľvek dostupného Exchange servera aj bez platných prístupových údajov. Zraniteľné sú najmä servery, ktoré sú pripojené k internetu. 

NEWSBYTE
Máte ju v peňaženke? Jedna nenápadná minca vám môže zarobiť tisíce eur, mnohí Slováci o nej netušia

Máte ju v peňaženke? Jedna nenápadná minca vám môže zarobiť tisíce eur, mnohí Slováci o nej netušia

Ceny lístkov stúpnu, kvalita dopravy zostáva rovnaká: Ľudia v Košiciach majú dôvod na hnev

Ceny lístkov stúpnu, kvalita dopravy zostáva rovnaká: Ľudia v Košiciach majú dôvod na hnev

Pozor na aktualizácie: Výrobcovia začnú úmyselne spomaľovať nabíjanie mobilov, dotkne sa to každého

Pozor na aktualizácie: Výrobcovia začnú úmyselne spomaľovať nabíjanie mobilov, dotkne sa to každého

Máte ju v peňaženke? Jedna nenápadná minca vám môže zarobiť tisíce eur, mnohí Slováci o nej netušia
Máte ju v peňaženke? Jedna nenápadná minca vám môže zarobiť tisíce eur, mnohí Slováci o nej netušia
Ceny lístkov stúpnu, kvalita dopravy zostáva rovnaká: Ľudia v Košiciach majú dôvod na hnev
Ceny lístkov stúpnu, kvalita dopravy zostáva rovnaká: Ľudia v Košiciach majú dôvod na hnev
Pozor na aktualizácie: Výrobcovia začnú úmyselne spomaľovať nabíjanie mobilov, dotkne sa to každého
Pozor na aktualizácie: Výrobcovia začnú úmyselne spomaľovať nabíjanie mobilov, dotkne sa to každého

„Deň po vydaní záplat sme začali pozorovať, ako mnohí aktéri hromadne vyhľadávajú a útočia na Exchange servery. Zaujímavé je, že všetky útoky majú na svedomí APT skupiny, ktoré sa zameriavajú na špionáž s výnimkou prípadu, kde to vyzerá na spojitosť so známou operáciou na ťaženie kryptomeny.

V každom prípade je jasné, že čoraz viac útočníkov, vrátane útočníkov s ransomvérmi, získa skôr či neskôr prístup k zneužívaniu zraniteľností,“ varoval Matthieu Faou, ktorý viedol výskum spoločnosti ESET zameraný na zraniteľnosti serverov Exchange.

Výskumníci spoločnosti ESET si všimli, že niektoré APT skupiny zneužívali zraniteľnosti ešte pred zverejnením záplat. „Môžeme tak vylúčiť, že by hackerské skupiny pripravili útok na základe reverzného inžinierstva aktualizácií Microsoftu,“ dodal Faou.

Telemetria spoločnosti ESET ukázala prítomnosť webshellov, škodlivých programov alebo scriptov, ktoré umožňujú diaľkové ovládanie servera cez webový prehliadač, na viac ako 5 000 rôznych serveroch vo viac ako 115 krajinách.

Neprehliadnite

Kryptomeny, aktuálne
Nedá sa to zvrátiť: Všetkým známa firma PREPÚŠŤA vo veľkom. O prácu príde 9 000 ľudí
hacker
Google má ZÁVAŽNÚ bezpečnostnú chybu. Firma vyzýva na OKAMŽITÚ aktualizáciu (čo robiť)
mimoriadne, hacker
TIETO zariadenia vás potajomky špehujú a ani o tom netušíte. Mnohí Slováci ich majú doma
eset
Hodinové detekcie webshellov spoločnosťou ESET, ktoré využili zraniteľnosť CVE-2021-26855 – jednu zo zraniteľností serverov Exchange. Foto: ESET

Produkty spoločnosti ESET chránia pred postupom útoku využívajúceho zraniteľnosti Microsoft Exchange a to tým, že zachytávajú škodlivý kód typu webshell a backdoor, ktoré sú nainštalované útočníkmi.

Exchange
Pomer odhalení webshellov v jednotlivých krajinách medzi 28.2.2021 a 9.3.2021. Foto: ESET

Spoločnosť ESET identifikovala viac ako desať rôznych aktérov, ktorí pravdepodobne zneužili nedávne RCE zraniteľnosti Microsoft Exchange, aby nainštalovali do mailových serverov obetí škodlivé kódy typu webshell a backdoor. V niektorých prípadoch zacielili viaceré skupiny na tú istú organizáciu.

Medzi odhalených aktérov patria tieto skupiny a útoky: 

  • Tick má na svedomí skompromitovanie webových serverov IT spoločnosti so sídlom vo východnej Ázii. Tak ako v prípade LuckyMouse a Calypso, mala aj táto skupina pravdepodobne prístup k zraniteľnostiam ešte pred vydaním záplat. 
  • LuckyMouse skompromitovala mailový server vládnej organizácie na Blízkom východe. Táto APT skupina mala pravdepodobne prístup k zraniteľnostiam najmenej jeden deň pred vydaním záplat.  
  • Calypso zacielila na mailové servery vládnych inštitúcií na Blízkom východe a v Južnej Amerike. Hackerské zoskupenie malo pravdepodobne prístup k chybám ešte v štádiu zero day. Počas nasledujúcich dní členovia Calypso útočili na ďalšie vládne a firemné servery v Afrike, Ázii a Európe.
  • Websiic zaútočil na sedem mailových serverov, ktoré patria súkromným IT, telekomunikačným a inžinierskym spoločnostiam v Ázii a vládnej inštitúcii vo východnej Európe. ESET pomenoval tento útok ako Websiic a zatiaľ sa ho nepodarilo priradiť ku konkrétnym útočníkom.   
  • Winnti Group skompromitovala mailové servery ropnej a strojárenskej spoločnosti v Ázii. Aj toto zoskupenie malo pravdepodobne prístup k zraniteľnostiam ešte pred vydaním aktualizácií. 
  • Tonto Team skompromitoval mailové servery obstarávacej spoločnosti a poradenskej firmy, ktorá sa špecializuje na softvérový vývoj a kybernetickú bezpečnosť. Obe zasiahnuté organizácie sídlia vo východnej Európe.
  • Aktivita ShadowPad skompromitovala servery spoločnosti vyvíjajúcej softvér v Ázii a realitnej spoločnosti na Blízkom východe. ESET odhalil odnož ShadowPad backdooru vypustenú neznámou skupinou.
  • The “Opera” Cobalt Strike – tento útok cielil na približne 650 serverov prevažne v USA, Nemecku, Spojenom kráľovstve a ostatných európskych krajinách iba niekoľko hodín po zverejnení záplat.
  • IIS backdoory nainštalované cez webshelly boli použité na kompromitovanie štyroch mailových serverov v Ázii a Južnej Amerike. Jeden z backdoorov je verejne známy ako Owlproxy.
  • Mikroceen skompromitoval server dodávateľa verejnej služby v strednej Ázii, kde táto skupina typicky útočí.
  • DLTMiner – ESET zachytil nasadenie PowerShell downloadoerov na viacerých mailových serveroch, ktoré boli pred tým napadnuté cez Exchange zraniteľnosti. Sieťová infraštruktúra použitá pri tomto útoku sa spája s medializovanou operáciou ťaženia kryptomien.

„Je najvyšší čas čo najrýchlejšie zaplátať všetky Exchange servery. Zaplátané by mali byť dokonca aj tie, ktoré nie sú priamo pripojené k internetu. V prípade skompromitovania by mali administrátori odstrániť webshelly, zmeniť prístupové údaje a prešetriť každú ďalšiu podozrivú aktivitu. Tento incident je veľmi dobrým príkladom toho, prečo by komplexné riešenia ako Microsoft Exchange alebo SharePoint nemali byť otvorené internetu,“ dodal Matthieu Faou.

Zdieľaj tento článok
Facebook Kopírovať odkaz Vytlačiť
Predchádzajúci článok zdielanie nablizku Pre všetkých, aj v skupinách. Zdieľanie nablízku sa dočká rozšírenia
Ďalší článok watch fit Huawei vylepšil hodinky Watch Fit, dostali kvalitnejší remienok a telo z ocele
Nekomentované Nekomentované

Pridaj komentár Zrušiť odpoveď

Prepáčte, ale pred zanechaním komentára sa musíte prihlásiť.

Najčítanejšie

Slovensko, peniaze, Slováci, invetstovanie
KONIEC ďalších štyroch sviatkov: Štát má na stole VÁŽNU sťažnosť
4. júla 2025
Štát zásadne predĺžil intervaly STK: Potešia sa TISÍCE ľudí (ako často stačí chodiť)
3. júla 2025
autá
TOTO je desať najpredávanejších áut sveta. Rebríčku dominuje jedna značka (ZOZNAM)
3. júla 2025
Nekvalitné palivá, benzín, nafta, pokuta
Ľuďom začali chodiť 395 € pokuty od čerpacej stanice. Trestá ich za to, že nenatankovali
2. júla 2025

Najnovšie články

  • POZOR: Na Slovákov spustili útok. Nechcú vás obrať o peniaze, cieľ je oveľa horší
  • Nemáte ju doma? Táto jedna minca vám zaplatí luxusnú dovolenku a ešte vám aj ostane!
  • Za horšie služby zaplatíme VIAC: Schválili zvýšenie cien, ľudia sa začínajú búriť
  • PRIPRAVTE SA: Výrobcovia začnú ÚMYSELNE obmedzovať výkon batérií, deaktivujú aj rýchle nabíjanie
  • Tvrdý ZÁKAZ: Prvá krajina VŠETKÝM seniorom odoberá vodičské preukazy. Je jedno, ako sa cítia

Bude sa vám páčiť

Hackeri sa zamerali na dovolenkárov: Tento rok zašli o krok ďalej, to, čo robia, nemá obdoby (+ príklad)

30. júna 2025

Microsoft tvrdí, že Windows 11 je 2x rýchlejší ako Windows 10. Spôsob merania je ale všetkým na smiech

29. júna 2025
podvod, telefón, telefonát, podozrivé telefónne čísla, podvodníci

MIMORIADNE: Potvrdili NOVÝ útok na ľudí. Je to ešte horšie, než sa zdalo

22. júna 2025
AI, človek

JE TO TU: Veľká firma prepustí TISÍCE zamestnancov. Peniaze radšej naleje do AI

19. júna 2025

 

Spájame vedu, technológie a internetovú kultúru.

Dôležité odkazy

  • Kontakt
  • Reklama
  • O nás
  • Cookies
  • Podmienky používania

Spoj sa s nami

© 2025 BYTE Media s.r.o. Všetky práva vyhradené.
Vitaj späť!

Prihlás sa do svojho účtu

Username or Email Address
Password

Zabudol si heslo?