Aktualności
Zhakowano serwery Microsoft Exchange
22 listopada 2021, 14:10
Zhakowano serwery Microsoft Exchange

Przestępcy zaatakowali serwery Microsoft Exchange w celu rozpowszechniania wirusów.

Złośliwe pliki z zaufanej witryny

Hakerzy włamują się na serwery platformy Microsoft Exchange, a następnie rozpowszechniają za pomocą fałszywych wiadomości e-mailowych złośliwe oprogramowanie. Przestępcy do włamań używają exploitów ProxyShell i ProxyLogon oraz omijają ochronę przed atakami za pomocą sfałszowanych wiadomości w istniejących wątkach wymiany korespondencji.

Dzięki tej taktyce hakerzy nie mają dużych trudności ze zdobyciem zaufania adresatów wiadomości i nakłonienia ich do otwierania złośliwych załączników lub klikania odsyłaczy.

Ten ciekawy sposób postępowania cyberprzestępców odkryli analitycy z firmy TrendMicro. Eksperci uważają, że grupa przestępcza stosująca tę metodę ataków to „TR". Złośliwe pliki rozsyłane przez TR to m.in. Qbot, IcedID, Cobalt Strike i SquirrelWaffle.

Aby ochronić się przed szkodliwą działalnością, należy zaktualizować oprogramowanie serwerów Microsoft Exhange. Koncern naprawił już podatności ProxyShell i ProxyLogon, jednak działa jeszcze wiele serwerów z tymi lukami w zabezpieczeniach.

Przestępcy wykorzystują rozsyłanie złośliwych załączników i odsyłaczy prowadzących do stron WWW w celu przeprowadzania ataków ransomware lub instalowania powłok internetowych (web-shell), które służą później do zdalnego zarządzania serwerem.

W odpowiedzi na poważne ataki ProxyLogon FBI usunęło web-shelle z zaatakowanych serwerów Microsoft Exchange w USA bez wiedzy ich użytkowników.

fot Pixabay


Piotr Bogucki