Threat Hunting Inhalt: Spionagekampagne der Sandworm-Gruppe

Die von Russland unterstützte Cyberspionage-Einheit, bekannt für ihre zerstörerischen Angriffe, kompromittiert aktiv Exim-Mail-Server durch eine kritische Sicherheitslücke (CVE-2019-10149). Ende Mai veröffentlichte die National Security Agency eine Cyber-Sicherheitswarnung die vor einer Kampagne im Zusammenhang mit der Sandworm-Gruppe warnte. Die Gruppe ist am besten bekannt für ihre BlackEnergy-Kampagne, den Industroyer-Angriff auf das ukrainische Stromnetz und den NotPetya-Ausbruch, einem der verheerendsten Cyberangriffe in der Geschichte.

Die Sandworm-Gruppe greift Opfer an, die Exim-Software auf ihren öffentlich zugänglichen MTAs nutzen, indem sie einen Befehl im „MAIL FROM“- Feld einer SMTP (Simple Mail Transfer Protocol)-Nachricht sendet. Wenn CVE-2019-10149 erfolgreich ausgenutzt wird, sind Angreifer in der Lage, beliebigen Code auszuführen. Bei Ausnutzung der Schwachstelle lädt die Opfermaschine anschließend ein Shell-Skript von einer Domäne herunter, die den Angreifern gehört, das versucht, privilegierte Benutzer hinzuzufügen, Netzwerksicherheitseinstellungen zu deaktivieren und SSH-Konfigurationen zu aktualisieren, um zusätzlichen Fernzugriff zu ermöglichen. Während des Angriffs nutzt die Sandworm-Gruppe auch andere Schwachstellen in Exim-Mail-Servern: CVE-2019-10149, CVE-2019-15846 und CVE-2019-16928. Die Gruppe nutzt seit mindestens August 2019 auf diese Weise ungepatchte Mail-Server aus.

Die von Osman Demir veröffentlichte Community-Threat-Hunting-Regel ermöglicht die Erkennung von Angriffen auf Exim-Server, die von der Sandworm-Gruppe durchgeführt werden: https://tdm.socprime.com/tdm/info/ysGRM8W71hlN/CSH4g3IBjwDfaYjKJ8f-/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Initialer Zugriff

Techniken:  Öffentliche Anwendungen ausnutzen (T1190)