Siber güvenlik kuruluşu ESET, sayısı ondan fazla gelişmiş kalıcı tehdit grubunun (APT) e-posta sunucularına sızmak için Microsoft Exchange güvenlik açıklarını suistimal ettiğini fark etti. Microsoft, Exchange Server güvenlik açıkları için yamalar yayınladı. Yamaların en kısa sürede yüklenmesi öneriliyor.
ESET Araştırma ekibi, 5 binden fazla e-posta sunucusunun saldırılardan etkilendiğini belirledi. Sunucuların, dünya genelinde aralarında yüksek profile sahip şirketlerin de yer aldığı birçok kuruluşa ve devlet kurumuna ait olduğu belirtildi.
Saldırı nasıl gerçekleştirildi
Mart ayının başlarında Microsoft; 2013, 2016 ve 2019 sürümüne sahip Microsoft Exchange Server’ları için önceden kimlik doğrulama uzaktan kod yönetimi (RCE) güvenlik açıkları dizisini onaran yamalar yayımladı. Güvenlik açıkları, saldırganların geçerli bir hesabın kimlik bilgilerini bilmesine gerek kalmadan, erişim sağlanabilen Exchange sunucularını ele geçirmesine olanak tanıyor. Bu durum internete bağlı Exhange sunucularının ihlallere açık hale gelmesine neden oluyor.
10‘dan fazla tehdit grubu
ESET’in en son Exchange güvenlik açığı zinciriyle ilgili araştırmasına başkanlık eden Matthieu Faou bu konudaki görüşlerini şöyle ifade etti: “Yamaların yayımlandığı günün ertesinde Exchange sunucularını toplu halde tarayan ve ihlal eden saldırılarda artış gözlemlemeye başladık. Ayrıca bu APT gruplarından biri hariç hepsi casusluk alanına odaklanan gruplar. Bir tanesinin ise bilinen bir kriptopara madenciliği ile ilişkili olduğu gözlendi. Ancak fidye yazılım operatörleri de dahil olmak üzere gittikçe daha fazla sayıda saldırgan, bu güvenlik açıklarına er ya da geç erişim sağlayacaktır. ”ESET araştırmacıları, bazı APT gruplarının güvenlik açıklarını yamalar yayımlanmadan çok daha önce suistimal ettiğini fark etti.
ESET telemetrisi, 115’ten fazla ülkede 5 binden fazla benzersiz sunucuda web kabukları (bir internet tarayıcı yoluyla sunucunun uzaktan kontrol edilmesini sağlayan kötü amaçlı programlar veya dizinler) bulunduğunu tespit etti.
