Cybercriminelen zijn nu actief aanvallende mailservers die Exim gebruiken voor hun werk om een kwetsbaarheid onlangs ontdekt in de software te exploiteren.
EENs juni 2019, Exim werd vastgesteld op bijna 57% (507,389) van alle mailservers die zichtbaar waren op het internet (volgens sommige data, eigenlijk, het aantal Exim installaties boven dit cijfer met tienmaal bestond 5.4 miljoen).Als Trojan-Killer schreef: 57% van mail-servers hebben kritieke kwetsbaarheid
Dit is een CVE-2019-10.149 kwetsbaarheid, ook gekend als "Terugkeer van de wizard”, die Exim versies van invloed 4.87 naar 4.91. De kwetsbaarheid kan een lokale / op afstand aanvaller om commando's te lanceren op de mailserver met privileges.
Volgens explorer Freddie Leeman, de eerste golf van aanvallen begon op 9 juni.
“Tijdens de campagne, een zekere hacker groep begonnen aan te vallen mailservers van de C & C server op het internet, en in de volgende dagen begon te experimenteren met werkwijzen, het veranderen van het type malware en scripts gedownload naar besmette servers”, – gerapporteerd over het incident Freddie Leeman.
Op bijna hetzelfde moment, opgenomen een golf van aanslagen, georganiseerd door een andere groep. Volgens de IB experts, Deze actie is complexer dan hierboven beschreven en verder ontwikkelt.
“Het onmiddellijke doel van de huidige aanval is om een backdoor in de MTA servers maken door het downloaden van een shell script dat een SSH-sleutel toevoegt aan de root-account,” – Magni R. Sigurdsson, een security-onderzoeker van Cyren verteld
Het script zelf op een server van Tor-netwerk, waardoor het bijna onmogelijk om uit te vinden zijn oorsprong. De meeste hackers aanval op basis van Red Hat Enterprise Linux (RHEL), Debian, openSUSE en Alpine Linux besturingssystemen.
Volgens informatie beveiligingsspecialisten, de tweede campagne maakt ook gebruik van een worm om de infectie te verspreiden naar andere mailservers.
In aanvulling op de achterdeur, de aanvallers downloaden cryptogeld mijnbouw programma's om de gecompromitteerde servers.
Ter bescherming tegen aanvallen, eigenaren van kwetsbare servers zijn sterk aanbevolen om te upgraden naar de nieuwe versie van Exim – 4.92.
Bron: https://www.zdnet.com
