De nouvelles données suggèrent que quelqu’un a compromis plus de 21000 Serveur Microsoft Exchange systèmes de messagerie dans le monde entier et les a infectés avec des logiciels malveillants qui invoquent à la fois KrebsOnSecurity et Yours Truly par leur nom.
Mettons cela de côté maintenant: ce n’était pas moi.
La Shadowserver Foundation, une organisation à but non lucratif qui aide les propriétaires de réseau à identifier et à corriger les menaces de sécurité, affirme avoir trouvé 21248 serveurs Exchange différents qui semblent être compromis par une porte dérobée et communiquant avec Brian[.]krebsonsecurity[.]Haut (PAS un domaine sûr, d’où le clapotis).
Shadowserver a suivi vague après vague d’attaques ciblant les failles d’Exchange que Microsoft a corrigées plus tôt ce mois-ci dans une version de correctif d’urgence. Le groupe recherche les attaques sur les systèmes Exchange en utilisant une combinaison d’analyses Internet actives et de «pots de miel» – des systèmes vulnérables aux attaques afin que les défenseurs puissent étudier ce que les attaquants font aux appareils et comment.
David Watson, membre de longue date et directeur de la Shadowserver Foundation Europe, affirme que son groupe surveille de près des centaines de variantes uniques de portes dérobées (également appelées «web shells») que divers groupes de cybercriminalité dans le monde utilisent pour réquisitionner des serveurs Exchange non corrigés. Ces portes dérobées permettent à un attaquant de contrôler à distance le serveur Exchange (y compris les e-mails du serveur).
Le 26 mars, Shadowserver a vu une tentative d’installation d’un nouveau type de porte dérobée dans les serveurs Exchange compromis, et avec chaque hôte piraté, il a installé la porte dérobée au même endroit: « /owa/auth/babydraco.aspx.«
«Le chemin du shell Web qui a été abandonné était nouveau pour nous», a déclaré Watson. «Nous avons testé 367 chemins de shell Web connus via l’analyse des serveurs Exchange.»
OWA fait référence à Outlook Web Access, la partie Web des serveurs Exchange locaux. Les pots de miel de Shadowserver ont vu plusieurs hôtes avec la porte dérobée Babydraco faire la même chose: exécuter un script Microsoft Powershell qui récupère le fichier «krebsonsecurity.exe» à partir de l’adresse Internet 159.65.136[.]128. Curieusement, aucun des plusieurs dizaines d’outils antivirus disponibles pour analyser le fichier à Virustotal.com le détecte actuellement comme malveillant.
Le fichier Krebsonsecurity installe également un certificat racine, modifie le registre système et indique à Windows Defender de ne pas analyser le fichier. Watson a déclaré que le fichier Krebsonsecurity tentera d’ouvrir une connexion cryptée entre le serveur Exchange et l’adresse IP mentionnée ci-dessus, et lui enverra une petite quantité de trafic chaque minute.
Shadowserver a trouvé plus de 21 000 systèmes Exchange Server sur lesquels la porte dérobée Babydraco était installée. Mais Watson a déclaré qu’ils ne savaient pas combien de ces systèmes exécutaient également le téléchargement secondaire à partir du domaine Krebsonsecurity non autorisé.
«Malgré les abus, c’est potentiellement une bonne occasion de mettre en évidence à quel point les serveurs MS Exchange vulnérables / compromis sont actuellement exploités dans la nature, et nous espérons aider à faire passer le message aux victimes dont elles ont besoin pour s’inscrire à nos rapports quotidiens gratuits sur le réseau »Dit Watson.
Il existe des centaines de milliers de systèmes Exchange Server dans le monde qui étaient vulnérables aux attaques (Microsoft suggère que le nombre est d’environ 400 000), et la plupart d’entre eux ont été corrigés au cours des dernières semaines. Cependant, il existe encore des dizaines de milliers de serveurs Exchange vulnérables exposés en ligne. Le 25 mars, Shadowserver a tweeté qu’il suivait 73 927 chemins Webshell actifs uniques sur 13 803 adresses IP.
Image: Shadowserver.org
Les utilisateurs d’Exchange Server qui n’ont pas encore corrigé les quatre failles corrigées par Microsoft au début du mois peuvent bénéficier d’une protection immédiate en déployant «l’outil de réduction sur site en un clic» de Microsoft.
Les motivations des cybercriminels derrière le domaine top point de Krebonsecurity ne sont pas claires, mais le domaine lui-même a une association récente avec d’autres activités de cybercriminalité – et avec le harcèlement de cet auteur. J’ai entendu parler du domaine pour la première fois en décembre 2020, lorsqu’un lecteur m’a raconté comment tout son réseau avait été détourné par un botnet de minage de crypto-monnaie qui l’appelait.
«Ce matin, j’ai remarqué qu’un ventilateur faisait un bruit excessif sur un serveur de mon laboratoire», a déclaré le lecteur. «Je n’y pensais pas beaucoup à l’époque, mais après un nettoyage et un test approfondis, c’était toujours bruyant. Après avoir terminé avec certaines choses liées au travail, j’ai vérifié – et j’ai trouvé qu’un cryptominer avait été déposé sur ma boîte, pointant vers XXX-XX-XXX.krebsonsecurity.top ‘. En tout, cela a infecté les trois boîtiers Linux de mon réseau. »
Quel était le sous-domaine que j’ai retiré de son message? Juste mon numéro de sécurité sociale. J’avais été doxed via DNS.
Ce n’est pas la première fois que des logiciels malveillants ou des contenus malveillants abusent de mon nom, de ma ressemblance et des marques de mon site Web en tant que mème de cybercriminalité, pour harcèlement ou simplement pour ternir ma réputation. Voici quelques-uns des exemples les plus notables, bien que tous ces événements datent de près d’une décennie. Cette même liste aujourd’hui serait longue de pages.
Lectures complémentaires:
Une chronologie de base de l’échange de masse-Hack
Avertissement au monde d’une bombe à retardement
Au moins 30000 organisations américaines récemment piratées via des trous dans le logiciel de messagerie de Microsoft
Microsoft: les cyberspies chinois ont utilisé 4 failles de serveur Exchange pour piller des e-mails
Tags: Porte dérobée Babydraco, Coque Babydraco, David Watson, Shadowserver, Windows Defender
- Je lis déjà n°218 : L'incroyable Noël de Max le pirate - Collectif - Livre6-9 ans - Occasion - Bon Etat - Je lis déjà - Revue - Structure Coopérative d'insertion à but non lucratif.
- Moi je lis n°249 : William et le pirate - Collectif - LivreJeunesse - Occasion - Bon Etat - Moi je lis - Revue - Structure Coopérative d'insertion à but non lucratif.
- Je lis déjà n°92 : Prisonnier des pirates - Collectif - Livre6-9 ans - Occasion - Bon Etat - Je lis déjà - Revue - Structure Coopérative d'insertion à but non lucratif.