Microsoft Exchange Server’a yapılan saldırı ESET tarafından tespit edildi
Önde gelen siber güvenlik şirketi ESET, APT) e-posta sunucularına sızmak için, bir grubun Microsoft Exchange güvenlik açıklarını kullandığını fark ederek Microsoft, Exchange Server güvenlik açıkları için yamaları yayımladı.
Saldırı ne zaman gerçekleştirildi?
Açıklanan bilgilere göre saldırılar bu ayın başında başladı. 2013, 2016 ve 2019 sürümüne sahip Microsoft Exchange Server’ları için önceden kimlik doğrulama uzaktan kod yönetimi (RCE) güvenlik açıklarını kapatmak için yamalar yayımlamasının Exchange sunucularını ele geçirmesine olanak tanıyan bazı açıklar meydana geldi.
ESET’in en son Exchange güvenlik açığı zinciriyle ilgili araştırmasına başkanlık eden Matthieu Faou bu konudaki görüşlerini şöyle ifade etti: “Yamaların yayımlandığı günün ertesinde Exchange sunucularını toplu halde tarayan ve ihlal eden saldırılarda artış gözlemlemeye başladık. Ayrıca bu APT gruplarından biri hariç hepsi casusluk alanına odaklanan gruplar. Bir tanesinin ise bilinen bir kriptopara madenciliği ile ilişkili olduğu gözlendi. Ancak fidye yazılım operatörleri de dahil olmak üzere gittikçe daha fazla sayıda saldırgan, bu güvenlik açıklarına er ya da geç erişim sağlayacaktır. ”
Tüm Exchange sunucularına mümkün olan en kısa sürede yama yüklenmeli
ESET, Microsoft Exchange RCE güvenlik açıklarını kullanan ondan fazla farklı tehdit düzenleyen grubu olduğunu tespit etti. Bu tehdit gruplarından bazıları ise aynı kuruluşu hedef aldı. Matthieu Faou şu tavsiyede bulundu: “Tüm Exchange sunucularına mümkün olan en kısa sürede yama yüklenmelidir. İnternete doğrudan maruz kalmayan sunuculara bile yama yüklenmelidir. İhlal durumunda yöneticiler web kabuklarını kaldırmalı, giriş bilgilerini değiştirmeli ve başka bir kötü amaçlı yazılım olup olmadığını araştırmalıdır. Bu durum, Microsoft Exchange veya SharePoint gibi karmaşık uygulamaların internete açık olmaması gerektiğine dair bir hatırlatmadır.”
Microsoft ve Citrix, hacker'larla mücadele için ekip oluşturdu
Exchange sunucularınızda kötü amaçlı web kabuklarının olup olmadığını kesinlikle kontrol etmeniz de ve kalan tüm sunucuları incelemenizde fayda var.
Tespit edilen tehdit grupları ve davranış kümeleri
- Tick – BT hizmetleri sağlayan ve Doğu Asya’da bulunan bir şirketin internet sunucusuna sızmış. LuckyMouse ve Calypso’da olduğu gibi grubun yamalar yayımlanmadan önce sunucuya sızarak erişim sağladığı düşünülüyor.
- LuckyMouse – Orta Doğu’daki bir devlet kurumunun e-posta sunucusuna sızmış. Bu APT grubunun yamalar yayımlanmadan en az bir gün önce ve hala sıfır günken sızıntıyı gerçekleştirmiş olması büyük bir olasılık.
- Calypso – Orta Doğu’daki ve Güney Amerika’daki devlet kurumlarının e-posta sunucularına sızmış. Grubun, sıfır gün olarak sunucuya erişim sağladığı düşünülüyor. Daha sonraki günlerde Calypso operatörleri Afrika, Asya ve Avrupa’daki devlet kurumlarının ve özel şirketlerin diğer sunucularını da hedef aldı.
- Websiic – Asya’da özel şirketlere (BT, iletişim ve mühendislik alanında) ait yedi e-posta sunucusunu ve Doğu Avrupa’daki bir devlet kurumunu hedef aldı. ESET, bu yeni etkinlik kümesine Websiic adını verdi.
- Winnti Grup – Asya’da bir petrol şirketinin ve bir yapı malzemeleri şirketinin e-posta sunucularına sızmış. Grubun yamalar yayımlanmadan önce sunucuya sızarak erişim sağladığı düşünülüyor.
- Tonto Ekibi – Doğu Avrupa’da bir tedarik şirketinin ve yazılım geliştirme ve siber güvenlik alanında uzmanlaşmış bir danışmanlık şirketinin e-posta sunucularına sızmış.
- ShadowPad etkinliği – Asya’daki bir yazılım geliştirme şirketinin ve Orta Doğu’daki bir emlak şirketinin e-posta sunucularına sızmış. ESET, ShadowPad arkakapının bir varyasyonunun bilinmeyen bir grup tarafından bırakıldığını tespit etti.
- “Opera” Cobalt Hareketi – Yamalar yayımlandıktan yalnızca birkaç saat sonra çoğunlukla Amerika, Almanya, İngiltere ve diğer Avrupa ülkelerindeki 650 civarı sunucuyu hedef almış.
- IIS arka kapılar – ESET, bu ihlallerde dört e-posta sürücüsüne ihlallerde kullanılan web kabukları yoluyla yüklenen IIS arka kapıların Asya ve Güney Amerika’da yer aldığını gözlemlemiştir. Arka kapılardan biri yaygın olarak Owlproxy olarak bilinir.
- Mikroceen – Orta Asya’daki bir kamu hizmet kuruluşunun exchange sunucusuna sızmıştır. Bu grup genellikle bu bölgeyi hedef alır.
- DLTMiner – ESET, daha önce Exchange güvenlik açıkları kullanılarak hedef alınan birçok e-posta sunucusunda PowerShell indirme yazılımı dağıtıldığını tespit etti. Bu saldırıda kullanılan ağ altyapısı, daha önce bildiren bir kriptopara madenciliği kampanyasıyla bağlantılıdır.