[RU]

[EN]
Alphazine - Only Successful People.
ГАРАНТ ПОПОЛНИТЬ ДЕПОЗИТ

Вернуться   Alphazine - Only Successful People. > Форум > Новости.

Важная информация

[Определение часового пояса]
[ Регистрация ]
Имя:
Отделение людей от роботов


 
Опции темы
Брайан Кребс: Ваши серверы Microsoft Exchange взломал не я
Старый   #1
Info
[Info Bot]
 
Регистрация: 21.05.2020
Сообщений: 1,316
Спасибо: 2 раз(а)
Репутация:   0  
Депозит: 0 ?
Business Level: 26 ?
Отправить личное сообщение для Info Telegram Jabber Tox PGP GPG Key
Брайан Кребс: Ваши серверы Microsoft Exchange взломал не я

Специалисты выявили 21 248 взломанных серверов Microsoft Exchange с бэкдором, подключающимся к домену brian[.]krebsonsecurity[.]top.

В деле о массовых взломах серверов Microsoft Exchange появились новые данные, указывающие на возможную причастность к нему известного журналиста Брайана Кребса, специализирующегося на тематике ИБ. Однако Кребс поспешил заверить , что не имеет к атакам никакого отношения, и хакеры нарочно использовали его имя в целях в очередной раз ему досадить.

Специалисты некоммерческой ИБ-организации Shadowserver Foundation фиксируют одну волну атак на Microsoft Exchange за другой после того, как стало известно об уязвимостях ProxyLogon. Для отслеживания атак они не только сканируют интернет, но и расставляют ловушки (ханипоты) – уязвимые серверы, на которые «клюют» злоумышленники, тем самым позволяя исследователям изучить их инструменты и тактики.

В атаках на Microsoft Exchange киберпреступные группировки по всему миру используют сотни уникальных web-оболочек (бэкдоров), предоставляющих им полный контроль над взломанными серверами. Интересно, что специалисты Shadowserver Foundation выявили 21 248 скомпрометированных серверов Microsoft Exchange, на которых был установлен бэкдор, подключающийся к домену brian[.]krebsonsecurity[.]top.

26 марта нынешнего года эксперты зафиксировали попытку установить на взломанный сервер новый бэкдор. На каждом атакованном хосте web-оболочка устанавливалась в одном и том же месте – /owa/auth/babydraco.aspx. Для исследователей, к тому времени уже успевших зафиксировать 367 известных путей, куда устанавливались бэкдоры на взломанных серверах, этот путь был новым.

OWA означает Outlook Web Access – подключенная к интернету часть локальных установок Microsoft Exchange. Ханипоты Shadowserver зафиксировали множество хостов с бэкдором Babydraco, запускающим скрипт Microsoft Powershell для извлечения файла “krebsonsecurity.exe” по IP-адресу 159.65.136[.]128. В настоящее время ни один из представленных на Virustotal.com нескольких десятков антивирусных инструментов для сканирования файлов не детектирует этот файл как вредоносный.

Файл Krebsonsecurity устанавливает корневой сертификат, модифицирует реестр системы и дает Windows Defender команду не сканировать его. Файл также пытается установить зашифрованное соединение между сервером и упомянутым выше IP-адресом и каждую минуту отправлять на него небольшое количество трафика.

Исследователи обнаружили боле 21 тыс. установок Microsoft Exchange с бэкдором Babydraco, но на скольких из них также запущен вторичный файл с поддельного домена Krebsonsecurity, неизвестно.

С какой целью был подделан домен Krebonsecurity, также непонятно. Однако подделка непосредственно связана с недавней киберпреступной активностью, направленной на то, чтобы досадить Кребсу.

Впервые журналист узнал о поддельном домене в декабре 2020 года от одного из своих читателей, чья компьютерная сеть домашней лаборатории была взломана ботнетом для майнинга криптовалюты. Криптомайнер указывал на домен XXX-XX-XXX.krebsonsecurity.top, где вместо XXX-XX-XXX использовался номер социального страхования Брайана Кребса.

Как пояснил сам журналист, это не первый случай, когда киберпреступники используют в своем вредоносном ПО или другом контенте его имя, торговую марку или похожие на Krebonsecurity сайты с целью досадить журналисту или испортить его репутацию.


Source: krebsonsecurity.com/2021/03/no-i-did-not-hack-your-ms-exchange-server
  Ответить с цитированием
Опции темы
Опции просмотра