No, no pirateé su servidor MS Trade – Krebs on Protection


Nuevos datos sugieren que alguien ha comprometido a más de 21.000 Microsoft Trade Server sistemas de correo electrónico en todo el mundo y los infectó con malware que invoca tanto a KrebsOnSecurity como a Yours Genuinely por su nombre.

Vamos a sacar esto del camino ahora mismo: no fui yo.

La Fundación Shadowserver, una organización sin fines de lucro que ayuda a los propietarios de redes a identificar y corregir amenazas de seguridad, dice que ha encontrado 21.248 servidores Trade diferentes que parecen estar comprometidos por una puerta trasera y comunicarse con brian (.) krebsonsecurity (.) arriba (NO es un dominio seguro, de ahí el cojeo).

Shadowserver ha estado rastreando ola tras ola de ataques dirigidos a fallas en Trade que Microsoft abordó a principios de este mes en un lanzamiento de parche de emergencia. El grupo busca ataques a los sistemas Exchange utilizando una combinación de exploraciones activas de World-wide-web y «honeypots», sistemas que quedan vulnerables a los ataques para que los defensores puedan estudiar qué hacen los atacantes a los dispositivos y cómo.

David Watson, Miembro desde hace mucho tiempo y director de Shadowserver Basis Europe, dice que su grupo ha estado vigilando de cerca cientos de variantes únicas de puertas traseras (también conocidas como «internet shells») que varios grupos de ciberdelincuencia en todo el mundo han estado utilizando para controlar cualquier servidor Exchange sin parches. Estas puertas traseras le dan al atacante un command remoto completo sobre el servidor de Trade (incluido cualquiera de los correos electrónicos del servidor).

El 26 de marzo, Shadowserver vio un intento de instalar un nuevo tipo de puerta trasera en servidores Exchange comprometidos, y con cada host pirateado instaló la puerta trasera en el mismo lugar: «/owa/auth/babydraco.aspx.«

«La ruta de la shell world wide web que se eliminó era nueva para nosotros», dijo Watson. «Hemos estado probando 367 rutas de shell net conocidas mediante el escaneo de servidores Exchange».

OWA se refiere a Outlook Website Access, la parte orientada a la Internet de los servidores de Trade locales. Los honeypots de Shadowserver vieron varios hosts con la puerta trasera de Babydraco haciendo lo mismo: ejecutar un script de Microsoft Powershell que recupera el archivo «krebsonsecurity.exe» de la dirección de World wide web 159.65.136 (.) 128. Curiosamente, ninguno de los varias docenas de herramientas antivirus disponibles para escanear el archivo en Virustotal.com actualmente lo detecta como malicioso.

El archivo Krebsonsecurity también instala un certificado raíz, modifica el registro del sistema y le dice a Home windows Defender que no escanee el archivo. Watson dijo que el archivo Krebsonsecurity intentará abrir una conexión encriptada entre el servidor de Exchange y la dirección IP mencionada anteriormente, y enviarle una pequeña cantidad de tráfico cada minuto.

Shadowserver encontró más de 21.000 sistemas Exchange Server que tenían instalada la puerta trasera de Babydraco. Pero Watson dijo que no saben cuántos de esos sistemas también ejecutaron la descarga secundaria del dominio de seguridad de Krebson no autorizado.

“A pesar del abuso, esta es potencialmente una buena oportunidad para resaltar cómo los servidores MS Trade vulnerables / comprometidos están siendo explotados en la naturaleza en este momento y, con suerte, ayudar a transmitir el mensaje a las víctimas de que deben registrarse en nuestros informes diarios gratuitos de la red. —Dijo Watson.

Hay cientos de miles de sistemas Exchange Server en todo el mundo que eran vulnerables a los ataques (Microsoft sugiere que el número es de aproximadamente 400.000), y la mayoría de ellos se han parcheado en las últimas semanas. Sin embargo, todavía hay decenas de miles de servidores Exchange vulnerables expuestos en línea. El 25 de marzo, Shadowserver tuiteó que estaba rastreando 73,927 rutas de webshell activas únicas en 13.803 direcciones IP.

Imagen: Shadowserver.org

Los usuarios de Exchange Server que aún no han reparado las cuatro fallas que Microsoft solucionó a principios de este mes pueden obtener protección inmediata mediante la implementación de Microsoft «Herramienta de mitigación regional con un clic. «

Las motivaciones de los ciberdelincuentes detrás del dominio dot best de Krebonsecurity no están claras, pero el dominio en sí tiene una asociación reciente con otras actividades de ciberdelincuencia y de acosar a este autor. Escuché por primera vez sobre el dominio en diciembre de 2020, cuando un lector me dijo cómo toda su crimson había sido secuestrada por una botnet de minería de criptomonedas que lo llamaba a casa.

“Esta mañana, noté que un ventilador hacía un ruido excesivo en un servidor de mi homelab”, dijo el lector. “No pensé mucho en eso en ese momento, pero después de una limpieza y una prueba a fondo, todavía era ruidoso. Una vez que terminé con algunas cosas relacionadas con el trabajo, lo revisé y descubrí que se había caído un criptominer en mi caja, apuntando a XXX-XX-XXX.krebsonsecurity.prime &#39. En whole, esto ha infectado las tres cajas de Linux en mi purple «.

¿Cuál fue el subdominio que hice X de su mensaje? Solo mi número de seguro social. Me habían manipulado a través de DNS.

Esta no es la primera vez que el malware o los descontentos abusan de mi nombre, imagen y marcas comerciales del sitio net como un meme de ciberdelito, para acoso o simplemente para manchar mi reputación. Estos son algunos de los ejemplos más notables, aunque todos esos eventos tienen casi una década. Esa misma lista de hoy tendría varias páginas.

Otras lecturas:

Una línea de tiempo básica del Exchange Mass-Hack

Advertencia al mundo de una bomba de tiempo que hace tictac

Al menos 30.000 organizaciones estadounidenses recientemente pirateadas a través de agujeros en el software de correo electrónico de Microsoft

Microsoft: los ciberespías chinos utilizaron 4 fallas de Trade Server para saquear correos electrónicos


Etiquetas: puerta trasera de Babydraco, shell de Babydraco, David Watson, Shadowserver, Windows Defender

Esta entrada se publicó el domingo 28 de marzo de 2021 a la 1:40 pm y está archivada bajo A Very little Sunshine.
Puede seguir cualquier comentario a esta entrada a través de la fuente RSS 2..

Puede saltar hasta el closing y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia initial