ESET: Mehr als 10 APT-Gruppen, die aktuelle Microsoft Exchange-Schwachstellen ausnutzen

Cyber Security News

Laut einer Untersuchung von ESET gibt es mehr als 10 verschiedene APT-Gruppen (Advanced Persistent Threats), die aktuelle Schwachstellen in Microsoft Exchange ausnutzen.

Letzte Woche hat Microsoft Out-of-Band-Patches veröffentlicht, um mehrere Zero-Day-Schwachstellen zu beheben, von denen angenommen wird, dass sie von der vom chinesischen Staat gesponserten Gruppe Hafnium ausgenutzt werden. Dieser Schritt wurde unternommen, um Kunden zu schützen, die lokale Versionen von Microsoft Exchange Server einsetzen.

Heute (10. März) behauptete ESET jedoch, dass die Zahl der APT-Gruppen, die die Schwachstellen ausnutzen, vermutlich im zweistelligen Bereich liegt und weltweit mehr als 5000 E-Mail-Server – sowohl von Unternehmen als auch von Regierungen – von entsprechenden bösartigen Aktivitäten betroffen sind.

“Am Tag nach der Veröffentlichung der Patches haben wir begonnen, viele weitere Bedrohungsakteure zu beobachten, die massenhaft Exchange-Server scannen und kompromittieren”, sagt ESET-Forscher Matthieu Faou. “Interessanterweise handelt es sich bei allen um APT-Gruppen, die sich auf Spionage konzentrieren, mit Ausnahme eines Ausreißers, der mit einer bekannten Coin-Mining-Kampagne in Verbindung zu stehen scheint.

“Es ist jedoch unvermeidlich, dass immer mehr Bedrohungsakteure, einschließlich Ransomware-Betreiber, früher oder später Zugang zu den Exploits haben werden”, fügte er hinzu.

Darüber hinaus stellten die ESET-Forscher fest, dass einige APT-Gruppen die Schwachstellen bereits vor der Veröffentlichung der Patches ausnutzten, was die Möglichkeit ausschließt, dass die Gruppen Exploits durch Reverse Engineering von Microsoft-Updates erstellten.

Die von ESET identifizierten Bedrohungsgruppen/Verhaltenscluster sind:

  • Zecke
  • LuckyMouse
  • Calypso
  • Websiic
  • Winnti-Gruppe
  • Tonto-Gruppe
  • ShadowPad-Aktivität
  • Die “Oper” Kobaltstreik
  • IIS-Hintertüren
  • Mikroceen
  • DLTMiner

“Es ist jetzt eindeutig jenseits der besten Zeit, alle Exchange-Server so schnell wie möglich zu patchen. Selbst diejenigen, die nicht direkt dem Internet ausgesetzt sind, sollten gepatcht werden. Im Falle einer Kompromittierung sollten Admins die Webshells entfernen, die Anmeldedaten ändern und auf weitere bösartige Aktivitäten untersuchen. Der Vorfall ist eine sehr gute Erinnerung daran, dass komplexe Anwendungen wie Microsoft Exchange oder SharePoint nicht für das Internet offen sein sollten”, so Faou abschließend.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com