「米国国家安全保障局 (NSA) 電子メールサーバーに対するサイバー攻撃の新しい波のセキュリティアラート警告を公開しました, ロシアで最も先進的なサイバースパイ活動ユニットの1つによる攻撃.
NSAは、ユニットのメンバーは 74455 特別技術のためのGRUメインセンターの (GTsST), ロシアの軍事諜報機関の一部門, Eximメール転送エージェントを実行している電子メールサーバーを攻撃しています (MTA).
Also known as “Sandworm,” this group has been hacking Exim servers since August 2019 CVE-2019-10149として追跡されている重大な脆弱性を悪用する.
SandwormがCVE-2019-10149を悪用したとき, その後、被害者のマシンは、サンドワームが制御するドメインからシェルスクリプトをダウンロードして実行します。. このシェルスクリプトは:
⚠️特権ユーザーを追加する
⚠️ネットワークセキュリティ設定を無効にする
⚠️SSH構成を更新して、追加のリモートアクセスを有効にします
⚠️追加のスクリプトを実行して、後続の悪用を可能にします
NSAは現在、民間および政府機関にEximサーバーをバージョンに更新するよう警告しています。 4.93 妥協の兆候を探します.
サンドワームグループは2000年代半ばから活動しており、12月にウクライナで停電を引き起こしたBlackEnergyマルウェアを開発したハッカーグループであると考えられています。 2015 と12月 2016, そして、世界中の企業に数十億米ドルの損害をもたらした悪名高いNotPetyaランサムウェアを開発したグループ.
現在、ロシアの国家が後援する2つの最も進んだハッキンググループの1つと見なされています。, Turlaと一緒に.
