Mehrere Hackergruppen nehmen seit einigen Tagen E-Mail-Server ins Visier, die auf dem Mailserver Exim basieren. Sie versuchen, eine kürzlich bekannt gewordene Sicherheitslücke auszunutzen, um die Kontrolle über ungepatchte Server zu übernehmen. Bisher wurden mindestens zwei Gruppen identifiziert, die hinter der massiven Angriffswelle stecken.
Die erste Welle startete dem Sicherheitsforscher Freddie Leeman zufolge bereits am 9. Juni. In den darauffolgenden Tagen habe die Gruppe ihren Angriff verfeinert und sowohl die Skripte als auch die eingeschleuste Malware verändert. Leeman geht davon aus, dass diese Gruppe bisher noch kein endgültiges Ziel für ihre Angriffe festgelegt hat.
Die zweite Gruppe soll seit 10. Juni aktiv sein und laut Magni Sigurdsson, Sicherheitsforscher bei Cyren, versuchen, eine Hintertür auf anfälligen Exim-Servern anzulegen. Dafür sollen die Hintermänner eine E-Mail an die Server schicken, die sie dazu bringt, ein Shell-Skript herunterzuladen und auszuführen. Das wiederum öffnet einen SSH-Zugang auf dem Server, und zwar mithilfe eines zuvor per Skript zum Root-Konto hinzugefügten SSH-Schlüssels.
„Das Skript selbst wird im Tor-Netzwerk gehostet“, erklärte Sigurdsson. „Sie gehen gegen Red Hat Enterprise Linux, Debian, OpenSuse und Alpine Linux vor.“
Die zweite Welle wurde auch vom Sicherheitsanbieter Cybereason entdeckt und analysiert. Demnach ist diese Gruppe weiterhin aktiv. Sie soll zudem ihre Aktivitäten ausgeweitet und somit auch in den Honeypots anderer Sicherheitsanbieter gelandet sein. Die Hintermänner setzen Cybereason zufolge inzwischen sogar eine Wurm-Komponente ein, um den Exim-Exploit an weitere Server zu verteilen. Auf kompromittierten Servern fanden die Sicherheitsforscher zudem Kryptominer.
Betreiber von Exim-Servern können sich vor den Angriffen schützen. Sie müssen lediglich ihre Installation auf die aktuellen Version 4.92 aktualisieren.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
