Більше тижня після того, як Microsoft випустила патч для пом’якшення наслідків кібератак, націлених на локальні сервери Exchange, компанія повідомила, що виправлення застосовано до 92%, але ті 8%, які залишилися непропатченими, є небезпечними. Про це пише TheHackerNews.

Розробка, яка на 43% покращила ситуацію порівняно з попереднім тижнем, охоплює низку шпигунських та інших шкідливих програми, які шкодять тисячам компаній у всьому світі, при цьому 10 великих хакерських груп  (APT) поспішають організовувати атаки, щоб використати помилки. За даними телеметрії з RiskIQ, приблизно 29 966 екземплярів серверів Microsoft Exchange все ще піддаються атакам, порівняно з 92 072 станом на 10 березня.

У той час як сервери Exchange були атаковані кількома пов’язаними з Китаєм державними хакерськими групами ще до виправлення помилок корпорацією Microsoft 2 березня, публікація досліджень, що підтверджують концепцію, стимулювала інших хакерів атакувати сервери за допомогою таких прийомів, як програми-вимагачі та викрадення веб-оболонок, розміщених на невідпрацьованих серверах Microsoft Exchange для доставки криптомайнерів та іншого шкідливого програмного забезпечення.

“Що ще гірше, автоматизовані сценарії атак, що підтверджують концепцію, робляться загальнодоступними, що дозволяє навіть некваліфікованим зловмисникам швидко отримати віддалений контроль над уразливим сервером Microsoft Exchange”, – зазначила компанія F-Secure у своєму дописі в офіційному блозі.

За кілька тижнів після того, як Microsoft вперше випустила свої виправлення, було виявлено, щонайменше, два різні типи програм-вимагачів, що використовують вищезгадану уразливість –  DearCry і Black Kingdom.

Аналіз Black Kingdom, визначає викупну програму як “дещо елементарну та дилетантську за внутрішньою структурою”, при цьому зловмисники використовують уразливість ProxyLogon для розгортання веб-оболонки, використовуючи її для видачі команди PowerShell, яка завантажує корисне навантаження викупників, яка шифрує файли та вимагає викуп у біткоїнах  в обмін на приватний ключ.

“Вимагач Black Kingdom, орієнтований на непропатчені сервери Exchange, має всі ознаки створення мотивованого скрипта”, – сказав Марк Ломан, директор інженерії Sophos. “Інструменти та методи шифрування недосконалі, але викуп  розміром 10 000 доларів у біткоїнах досить низький, щоб досягти успіху. Кожну загрозу слід сприймати серйозно, навіть, здавалося б, якщо шкідник написаний неякісно”.

Обсяг атак ще до публічного розкриття інформації про ProxyLogon спонукав експертів розслідувати, чи експлойт був поширений або проданий у Dark Web, або партнер Microsoft, з яким компанія ділилася інформацією про уразливі місця за допомогою програми Microsoft Active Protections (MAPP) ), випадково або цілеспрямовано передав його іншим групам.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як створити гостьову мережу Wi-Fi та навіщо вона потрібна?

Що таке зловмисне ПЗ? Все, що потрібно знати про віруси, трояни та програми-вимагачі

Як обмежити додаткам використання даних у фоновому режимі на Android? – ІНСТРУКЦІЯ

Як налаштувати автовидалення повідомлень у Telegram? – ІНСТРУКЦІЯ

Як заборонити сайтам надсилати Вам сповіщення у Chrome на Android? – ІНСТРУКЦІЯ

Signal чи Telegram: який додаток кращий для чату?

Нагадаємо, на VirusTotal були виявлені кілька зразків трояна XCSSET, які здатні працювати на пристроях з чипами Apple Silicon (M1).  Троян вміє красти файли куки з Safari, інформацію з додатків Evernote, Skype, Notes, QQ, WeChat і Telegram, а також шифрувати файли і впроваджувати шкідливий JavaScript сторінки, що відкривається у браузері, за допомогою XSS-атаки

Окрім цього, у Google Play Маркет знайшли понад десять додатків, що завантажують троянську програму Joker. Ця шкідлива програма примітна тим, що таємно оформляє підписку на преміум-послуги. Вона також вміє перехоплювати SMS, красти конфіденційні дані і список контактів, встановлювати бекдор, генерувати фейковий відгуки, нав’язливо показувати рекламу

Також понад 10 різних APT-груп, які використовують нові уразливості Microsoft Exchange для компрометації поштових серверів, виявили дослідники з кібербезпеки. Дослідники ESET виявили наявність веб-шелів (шкідливі програми або скрипти, які дозволяють дистанційно управляти сервером через веб-браузер) на 5 тисячах унікальних серверах у понад 115 країнах світу.

До речі, хакери вигадали хитрий спосіб викрадення даних платіжних карток у скомпрометованих інтернет-магазина. Замість того, щоб надсилати інформацію про картку на контрольований ними сервер, хакери приховують її у зображенні JPG та зберігають на самому веб-сайті, з якого власне, і були викраденні дані.

А команда експертів змогла отримати доступ до камер відеоспостереження, встановлених в компаніях Tesla, Equinox, медичних клініках, в’язницях і банках. Фахівці опублікували зображення з камер, а також скріншоти своєї здатності отримати доступ суперкористувача до систем спостереження, які використовують в компанії Cloudflare і в штаб-квартирі Tesla.