اكتشفت أبحاث شركة “إسيت” ESET أن أكثر من عشر مجموعات مختلفة من التهديدات المستمرة المتقدمة (APT) تستغل نقاط الضعف الأخيرة في “مايكروسوفت إكستشينج سيرفر” لخرق خوادم البريد الإلكتروني. حددت “إسيت” أكثر من 5000 خادم بريد إلكتروني تأثرت بالنشاط الضار المتعلق بالحادث. تنتمي الخوادم إلى مؤسسات – شركات وحكومات على حد سواء – من جميع أنحاء العالم، بما في ذلك الشركات البارزة. وبالتالي، فإن التهديد لا يقتصر على مجموعة Hafnium التي تم الإبلاغ عنها على نطاق واسع سابقا.
في أوائل شهر مارس، أصدرت “مايكروسوفت” تصحيحات لإكستشينج سيرفر 2013 و2016 و2019 لإصلاح سلسلة من الثغرات الأمنية لتنفيذ التعليمات البرمجية للمصادقة المسبقة عن بُعد (RCE). تسمح الثغرات الأمنية للمهاجم بالاستيلاء على أي خادم “إكستشينج” يمكن الوصول إليه، دون الحاجة إلى معرفة أي بيانات اعتماد صالحة للحساب، مما يجعل خوادم “إكستشينج” المتصلة بالإنترنت معرضة للخطر بشكل خاص.
لاحظ باحثو “إسيت” أن بعض مجموعات APT كانت تستغل الثغرات الأمنية حتى قبل إطلاق التصحيحات. وقال “ماتيو فو”، الذي يقود أبحاث “إسيت” المتعلقة بسلسلة الثغرات الأمنية الأخيرة في “إكستشينج”:”في اليوم التالي لإصدار التصحيحات، بدأنا في ملاحظة العديد من الجهات الفاعلة التي تهدد التهديدات التي تقوم بفحص خوادم “إكستشينج” وتعريضها للخطر. ومن المثير للاهتمام، أن كل هذه المجموعات عبارة عن مجموعات APT تركز على التجسس، باستثناء حالة خارجية واحدة يبدو أنها مرتبطة بحملة معروفة لتعدين العملات. ولا مفر من أن المزيد والمزيد من الجهات الفاعلة في مجال التهديد، بما في ذلك مشغلي برامج الفدية، سيتمكنون من الوصول إلى الثغرات عاجلاً أم آجلاً “.
وأضاف “فاو”: “هذا يعني استبعاد احتمال أن تكون هذه المجموعات قد أنشأت ثغرة من خلال الهندسة العكسية لتحديثات مايكروسوفت”.
حددت “إسيت” أكثر من عشرة جهات تهديدات مختلفة من المحتمل أنها استفادت من ثغرات “مايكروسوفت إكستشينج RCE” الأخيرة من أجل تثبيت برامج ضارة مثل webshells وbackdoorsعلى خوادم البريد الإلكتروني للضحايا. في بعض الحالات، كان العديد من الجهات الضارة تستهدف نفس المنظمة.
مجموعات التهديد التي تم تحديدها هي:
• Tick – اخترق خادم الويب لشركة مقرها في شرق آسيا تقدم خدمات تكنولوجيا المعلومات. كما في حالة LuckyMouse وCalypso، من المحتمل أن المجموعة تمكنت من الوصول إلى أحد الثغرات قبل إصدار التصحيحات.
• LuckyMouse – تعرض للخطر خادم البريد الإلكتروني لكيان حكومي في الشرق الأوسط. من المحتمل أن تكون مجموعة APT هذه قد استغلت قبل يوم واحد على الأقل من إطلاق التصحيحات.
• Calypso – اخترقت خوادم البريد الإلكتروني للهيئات الحكومية في الشرق الأوسط وأمريكا الجنوبية. من المحتمل أن المجموعة تمكنت من الوصول إلى الثغرة zero day.. في الأيام التالية، استهدف مشغلو Calypso خوادم إضافية لكيانات حكومية وشركات خاصة في إفريقيا وآسيا وأوروبا.
• Websiic – استهدفت سبعة خوادم بريد إلكتروني تابعة لشركات خاصة (في مجالات تكنولوجيا المعلومات والاتصالات والهندسة) في آسيا وهيئة حكومية في أوروبا الشرقية. قامت “إسيت” بتسمية مجموعة الأنشطة الجديدة هذه باسم Websiic.
• Winnti Group – اخترقت خوادم البريد الإلكتروني لشركة نفط وشركة معدات البناء في آسيا. من المحتمل أن تكون المجموعة قد تمكنت من الوصول قبل إصدار التصحيحات.
• Tonto Team – تعرض للخطر خوادم البريد الإلكتروني لشركة مشتريات وشركة استشارية متخصصة في تطوير البرمجيات والأمن السيبراني، وكلاهما يقع في أوروبا الشرقية.
• ShadowPad activity – خرق خوادم البريد الإلكتروني لشركة تطوير برمجيات مقرها في آسيا وشركة عقارات مقرها في الشرق الأوسط. اكتشف “إسيت” متغيرًا للباب الخلفي ShadowPad أسقطته مجموعة غير معروفة.
• “Opera” Cobalt Strike – استهدفت حوالي 650 خادمًا، معظمها في الولايات المتحدة وألمانيا والمملكة المتحدة ودول أوروبية أخرى بعد ساعات قليلة من إطلاق التصحيحات.
• IIS backdoors – لاحظت “إسيت” وجود أبواب خلفية لـ IIS مثبتة عبر شبكات الويب المستخدمة في هذه التسويات على أربعة خوادم بريد إلكتروني موجودة في آسيا وأمريكا الجنوبية. يُعرف أحد الأبواب الخلفية باسم Owlproxy.
• Mikroceen – تعرض للخطر خادم التبادل لشركة مرافق في آسيا الوسطى، وهي المنطقة التي تستهدفها هذه المجموعة عادةً.
• DLTMiner – اكتشف “إسيت” نشر أدوات تنزيل PowerShell على خوادم بريد إلكتروني متعددة كانت مستهدفة مسبقًا باستخدام ثغرات أمنية في “إكستشينج”. ترتبط البنية التحتية للشبكة المستخدمة في هذا الهجوم بحملة تم الإبلاغ عنها سابقًا لتعدين العملات.
اختتم “فاو” تصريحاته: “لقد حان الوقت الآن بعد وقت الذروة لإصلاح جميع خوادم “إكستشينج” في أسرع وقت ممكن. حتى أولئك الذين لم يتعرضوا بشكل مباشر للإنترنت يجب تصحيحهم. في حالة الاختراق، يجب على المسؤولين إزالة webshells وتغيير بيانات الاعتماد والتحقيق في أي نشاط ضار إضافي. هذا الحادث هو تذكير جيد للغاية بأن التطبيقات المعقدة مثل “مايكروسوفت إكستشينج” أو “شيربوينت” يجب ألا تكون مفتوحة على الإنترنت”.