‘The US National Security Agency (NSA) hat eine Sicherheitswarnung vor einer neuen Welle von Cyberangriffen auf E-Mail-Server veröffentlicht, attacks conducted by one of Russia’s most advanced cyber-espionage units.
Die NSA sagt, dass Mitglieder der Einheit 74455 des GRU Hauptzentrums für Spezialtechnologien (GTsST), eine Abteilung des russischen Militärgeheimdienstes, haben E-Mail-Server angegriffen, auf denen der Mail-Transfer-Agent Exim läuft (MTA).
Auch bekannt als “Sandwurm,” Diese Gruppe hackt seit August Exim-Server 2019 durch Ausnutzung einer kritischen Schwachstelle, die als CVE-2019-10149 verfolgt wird.
Als Sandworm CVE-2019-10149 ausnutzte, Der betroffene Computer würde anschließend ein Shell-Skript von einer von Sandworm kontrollierten Domäne herunterladen und ausführen. Dieses Shell-Skript würde:
⚠️Add privileged users
⚠️Disable network security settings
⚠️Update SSH configurations to enable additional remote access
⚠️Execute an additional script to enable follow-on exploitation
Die NSA warnt nun private und staatliche Organisationen davor, ihre Exim-Server auf die Version zu aktualisieren 4.93 und suchen Sie nach Anzeichen von Kompromissen.
Die Sandworm-Gruppe ist seit Mitte der 2000er Jahre aktiv und gilt als die Hackergruppe, die die BlackEnergy-Malware entwickelt hat, die im Dezember einen Stromausfall in der Ukraine verursachte 2015 und Dezember 2016, und die Gruppe, die die berüchtigte Ransomware NotPetya entwickelt hat, die Unternehmen auf der ganzen Welt Schäden in Milliardenhöhe zugefügt hat.
Sie gilt derzeit als eine der zwei fortschrittlichsten staatlich geförderten Hacking-Gruppen Russlands, zusammen mit Turla.
