Хакерські угрупування активно атакують поштові сервери з встановленим агентом Exim з метою експлуатації нещодавно уразливості, виявленої у програмному забезпеченні.
Станом на червень 2019 року Exim було встановлено на 57% (507 389) від усіх видимих через Інтернет поштових серверів (за деякими даними, кількість установок Exim перевищує цю цифру в десять разів і становить 5,4 мільйона).
Йдеться про уразливості CVE-2019-10149, також відому як “Return of the WIZard”, яка зачіпає версії Exim від 4.87 до 4.91. Уразливість дозволяє віддаленому/локальному зловмисникові запускати на поштовому сервері команди з привілеями суперкористувача.
За даними фахівця Фредді Лиману (Freddie Leeman), перша хвиля атак почалася 9 червня. В ході кампанії якась хакерська група почала атакувати поштові сервери з розташованого в Інтернеті C&C-сервера, а в наступні дні почала експериментувати з методами експлуатації, змінюючи тип шкідливого програмного забезпечення і скриптів, що завантажуються на заражені сервери.
Приблизно в той самий час була зафіксована ще одна хвиля атак, організована вже іншим угрупуванням. За словами фахівці з кібербезпеки, ця кампанія складніша порівняно з попередньою і продовжує розвиватися. В ході атак зловмисники створюють бекдор на поштових серверах шляхом завантаження шел-скрипта, який додає SSH ключ до облікового запису суперкористувача. Сам скрипт розташовується на сервері в мережі Tor, завдяки чому його походження практично неможливо з’ясувати. В основному хакери атакують системи на базі ОС Red Hat Enterprise Linux (RHEL), Debian, openSUSE і Alpine Linux, розповів ZDNet експерт з компанії Cyren Магни Сігурдсон (Magni R. Sigurdsson).
За даними фахівців, у другій кампанії також використовується черв’як для поширення зараження на інші поштові сервери. Також хакери завантажують на скомпрометовані сервери програми для видобутку криптовалют.
Для захисту від атак власникам уразливих серверів рекомендується оновити систему до нової версії Exim – 4.92.
Exim — це агент пересилки повідомлень (mail transfer agent, MTA), який використовується в операційних системах сімейства Unix.
Нагадаємо, що команда дослідників з США, Австралії та Австрії розробила новий варіант атаки Rowhammer. На відміну від попередніх версій нова атака під назвою RAMBleed дозволяє не тільки модифікувати дані і підвищувати привілеї, а й викрадати збережені на пристрої дані.
До речі, застаріле шкідливе програмне забезпечення ICEFOG (інша назва Fucobha), яке вважали таким, що зникло, знову з’явилося в арсеналі кіберзлочинців.
Також за останні кілька років майже 440 мільйонів користувачів Android встановили додатки з Google Play Store, що містять нав’язливу рекламу.