‘The US National Security Agency (NSA) ha pubblicato un avviso di sicurezza che avverte di una nuova ondata di attacchi informatici contro i server di posta elettronica, attacks conducted by one of Russia’s most advanced cyber-espionage units.
La NSA dice che i membri dell'Unitร 74455 del GRU Main Center for Special Technologies (GTsST), una divisione del servizio di intelligence militare russo, hanno attaccato i server di posta elettronica che eseguono l'agente di trasferimento della posta Exim (MTA).
Also known as “Sandworm,” this group has been hacking Exim servers since August 2019 sfruttando una vulnerabilitร critica rilevata come CVE-2019-10149.
Quando Sandworm ha sfruttato CVE-2019-10149, la macchina vittima avrebbe successivamente scaricato ed eseguito uno script di shell da un dominio controllato da Sandworm. Questo script di shell lo farebbe:
โ ๏ธAdd privileged users
โ ๏ธDisable network security settings
โ ๏ธUpdate SSH configurations to enable additional remote access
โ ๏ธExecute an additional script to enable follow-on exploitation
La NSA sta ora avvisando le organizzazioni private e governative di aggiornare i propri server Exim alla versione 4.93 e cerca segni di compromesso.
Il gruppo Sandworm รจ attivo dalla metร degli anni 2000 e si ritiene che sia il gruppo di hacker che ha sviluppato il malware BlackEnergy che ha causato un blackout in Ucraina a dicembre 2015 e dicembre 2016, e il gruppo che ha sviluppato il famigerato ransomware NotPetya che ha causato danni per miliardi di dollari USA ad aziende di tutto il mondo.
Attualmente รจ considerato uno dei due gruppi di hacking russi sponsorizzati dallo stato piรน avanzati, insieme a Turla.
