[ad_1]

De nouvelles données suggèrent que quelqu’un a compromis plus de 21 000 Serveur Microsoft Exchange systèmes de messagerie dans le monde entier et les a infectés avec des logiciels malveillants qui invoquent à la fois BreachTrace et Yours Truly par leur nom.

Mettons ça de côté maintenant : ce n’était pas moi.

La Fondation Shadowserverune organisation à but non lucratif qui aide les propriétaires de réseaux identifier et corriger les menaces de sécurité dit avoir trouvé 21 248 serveurs Exchange différents qui semblent être compromis par une porte dérobée et communiquant avec Meguetaoui[.]breachtrace[.]Haut (PAS un domaine sûr, d’où le boitillement).

Shadowserver a suivi vague après vague d’attaques ciblant les failles d’Exchange que Microsoft a corrigées plus tôt ce mois-ci dans une version de correctif d’urgence. Le groupe recherche les attaques sur les systèmes Exchange en utilisant une combinaison d’analyses Internet actives et de « pots de miel » – des systèmes laissés vulnérables aux attaques afin que les défenseurs puissent étudier ce que les attaquants font aux appareils et comment.

David Watson, membre et directeur de longue date de la Shadowserver Foundation Europe, affirme que son groupe surveille de près des centaines de variantes uniques de portes dérobées (également appelées « Web Shells ») que divers groupes de cybercriminalité du monde entier utilisent pour réquisitionner des serveurs Exchange non corrigés. Ces portes dérobées donnent à un attaquant un contrôle complet et à distance sur le serveur Exchange (y compris tous les e-mails du serveur).

Le 26 mars, Shadowserver a vu une tentative d’installation d’un nouveau type de porte dérobée dans les serveurs Exchange compromis, et avec chaque hôte piraté, il a installé la porte dérobée au même endroit : «/owa/auth/babydraco.aspx.

« Le chemin du shell Web qui a été supprimé était nouveau pour nous », a déclaré Watson. « Nous avons testé 367 chemins de shell Web connus via l’analyse des serveurs Exchange. »

OWA fait référence à Accès Web Outlook, la partie Web des serveurs Exchange sur site. Les pots de miel de Shadowserver ont vu plusieurs hôtes avec la porte dérobée Babydraco faire la même chose : exécuter un script Microsoft Powershell qui récupère le fichier « breachtrace.exe » à partir de l’adresse Internet. 159.65.136[.]128. Curieusement, aucun des plusieurs dizaines d’outils antivirus disponibles pour scanner le fichier à Virustotal.com le détecte actuellement comme malveillant.

Le fichier breachtrace installe également un certificat racine, modifie le registre système et indique à Windows Defender de ne pas analyser le fichier. Watson a déclaré que le fichier breachtrace tentera d’ouvrir une connexion cryptée entre le serveur Exchange et l’adresse IP mentionnée ci-dessus, et lui enverra une petite quantité de trafic chaque minute.

Shadowserver a trouvé plus de 21 000 systèmes Exchange Server sur lesquels la porte dérobée Babydraco était installée. Mais Watson a déclaré qu’ils ne savaient pas combien de ces systèmes exécutaient également le téléchargement secondaire à partir du domaine voyou breachtrace.

« Malgré les abus, c’est potentiellement une bonne occasion de souligner à quel point les serveurs MS Exchange vulnérables/compromis sont actuellement exploités dans la nature et, espérons-le, d’aider à faire passer le message aux victimes dont elles ont besoin pour s’inscrire à nos rapports quotidiens gratuits sur le réseau, », a déclaré Watson.

Il existe des centaines de milliers de systèmes Exchange Server dans le monde qui étaient vulnérables aux attaques (Microsoft suggère que le nombre est d’environ 400 000), et la plupart d’entre eux ont été corrigés au cours des dernières semaines. Cependant, des dizaines de milliers de serveurs Exchange vulnérables sont toujours exposés en ligne. Le 25 mars, Shadowserver tweeté qu’il suivait 73 927 chemins Webshell actifs uniques sur 13 803 adresses IP.

Image : Shadowserver.org

Les utilisateurs d’Exchange Server qui n’ont pas encore corrigé les quatre failles corrigées par Microsoft plus tôt ce mois-ci peuvent obtenir une protection immédiate en déployant Microsoft « Outil d’atténuation sur site en un clic.”

Les motivations des cybercriminels derrière le domaine dot top Krebonsecurity ne sont pas claires, mais le domaine lui-même a une association récente avec d’autres activités de cybercriminalité – et avec le harcèlement de cet auteur. J’ai entendu parler du domaine pour la première fois en décembre 2020, lorsqu’un lecteur m’a raconté comment l’ensemble de son réseau avait été piraté par un botnet minier de crypto-monnaie qui l’appelait chez lui.

« Ce matin, j’ai remarqué qu’un ventilateur faisait un bruit excessif sur un serveur de mon homelab », a déclaré le lecteur. « Je n’y ai pas beaucoup pensé à l’époque, mais après un nettoyage et un test approfondis, il y avait toujours du bruit. Après avoir terminé certaines choses liées au travail, j’ai vérifié et j’ai découvert qu’un cryptomineur avait été déposé sur ma boîte, pointant vers XXX-XX-XXX.breachtrace.top’. Au total, cela a infecté les trois machines Linux de mon réseau.

Quel était le sous-domaine que j’ai extrait de son message ? Juste mon numéro de sécurité sociale. J’avais été doxé via DNS.

Ce n’est pas la première fois que des logiciels malveillants ou des mécontents abusent de mon nom, de mon image et des marques déposées de mon site Web en tant que mème de cybercriminalité, pour harcèlement ou simplement pour ternir ma réputation. Voici quelques-uns des exemples les plus notables, bien que tous ces événements datent de près d’une décennie. Cette même liste aujourd’hui serait longue de plusieurs pages.

Lecture complémentaire :

Une chronologie de base de l’échange Mass-Hack

Avertir le monde d’une bombe à retardement

Au moins 30 000 organisations américaines nouvellement piratées via des failles dans le logiciel de messagerie de Microsoft

Microsoft : les cyberespions chinois ont utilisé 4 failles du serveur Exchange pour piller les e-mails.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *