米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

こんにちは、丸山満彦です。

ココログが復活しましたので、こちらに掲載を続けます。

少し前になるのですが、米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表していました。

● NSA

・2020.05.28 Exim Mail Transfer Agent Actively Exploited by Russian GRU Cyber Actors

・2020.05.28 NSA Releases Advisory on Sandworm Actors Exploiting an Exim Vulnerability

・[PDF]  Cybersecurity Advisory "Sandworm Actors Exploiting Vulverability in Exim Mail Transfer Agent

 

SandwormがCVE-2019-10149を悪用した場合、被害者のマシンはその後、Sandwormが制御するドメインからシェルスクリプトをダウンロードして実行するようですね。

このシェルスクリプトは、

• 特権ユーザーを追加する
• ネットワークセキュリティ設定を無効にする
• SSH構成を更新して、追加のリモートアクセスを有効にする
• 追加のスクリプトを実行して、後続の悪用を有効にする

ということですね。。。

 

■ 報道等

● Securityweek

・ 2020.05.29 NSA Publishes IOCs Associated With Russian Targeting of Exim Servers by Ionut Arghire

● ZDNet

・ 2020.05.29 NSA warns of new Sandworm attacks on email servers by Catalin Cimpanu 
    NSA says Russia's military hackers have been attacking Exim email servers to plant backdoors since August 2019.

● Helpnetsecurity

・2020.05.29 NSA warns about Sandworm APT exploiting Exim flaw by Zeljka Zorz 

● Health IT Security

・2020.05.29 NSA Warns Russian Hacking Group Targeting Vulnerable Email Systems by Jessica Davis
   The Russian hacking group known as Sandworm has been actively exploiting a vulnerability found in the Exim MTA software for email to launch malicious attacks, according to an NSA alert.

● Security NEXT

・ 2020.05.29 露APTグループがメールサーバに脆弱性攻撃 - 米政府が注意喚起

● マイナビニュース

・ 2020.05.30 Eximの脆弱性がサイバー攻撃に使われている、アップデートを by 後藤大地