Existem mais de dez grupos diferentes de ameaças persistentes avançadas (APT) explorando vulnerabilidades recentes do Microsoft Exchange, de acordo com uma pesquisa da empresa de segurança cibernética ESET.
Na semana passada, a Microsoft lançou patches out-of-band (fora de época) para corrigir várias vulnerabilidades de dia zero que estão sendo exploradas pelo grupo Hafnium, patrocinado pelo governo chinês. As atualizações foram liberadas para proteger os clientes que executam versões on premises do Microsoft Exchange Server.
No entanto, na quarta-feira, 10, a ESET afirmou que o número de grupos APT que exploram as vulnerabilidades está em dois dígitos, identificando mais de 5 mil servidores de e-mail globalmente — pertencentes a empresas e governos — que foram afetados por atividades maliciosas relacionadas às falhas.
“No dia seguinte ao lançamento dos patches, começamos a observar muito mais agentes de ameaças examinando e comprometendo os servidores Exchange em massa”, disse o pesquisador da ESET Matthieu Faou, à Infosecurity. “Curiosamente, todos eles são grupos APT focados em espionagem, exceto um outlier que parece relacionado a uma conhecida campanha de mineração de criptomoedas.
Para ele, é inevitável que mais e mais agentes de ameaças, incluindo operadores de ransomware, tenham acesso aos exploits mais cedo ou mais tarde. Além do mais, os pesquisadores da ESET notaram que alguns grupos APT estavam explorando as vulnerabilidades antes mesmo de os patches serem lançados, descartando a possibilidade de que os grupos construíssem exploits por engenharia reversa das atualizações da Microsoft.
Veja isso
Regulador bancário da UE é alvo de ciberataque ao Microsoft Exchange
Ataques ao Exchange pegam organizações no mundo todo
Os grupos de ameaças/grupos de comportamento identificados pela ESET são:
- Tick
- LuckyMouse
- Calypso
- Websiic
- Winnti Group
- Tonto Team
- ShadowPad activity
- The “Opera” Cobalt Strike
- ISS Backdoors
- Mikroceen
- DLTMiner
A avaliação do pesquisador é que agora está um pouco tarde para corrigir todos os servidores Exchange rapidamente. Mesmo aqueles que não estão diretamente expostos à internet devem ser corrigidos. Em caso de comprometimento, os administradores devem remover os webshells, alterar as credenciais e investigar qualquer atividade maliciosa adicional. “O incidente é um bom lembrete de que aplicativos complexos como o Microsoft Exchange ou o SharePoint não devem ser abertos para a internet”, concluiu Faou.
