Die von Russland unterstützte Cyberspionage-Einheit, bekannt für ihre zerstörerischen Angriffe, kompromittiert aktiv Exim-Mail-Server durch eine kritische Sicherheitslücke (CVE-2019-10149). Ende Mai veröffentlichte die National Security Agency eine Cyber-Sicherheitswarnung die vor einer Kampagne im Zusammenhang mit der Sandworm-Gruppe warnte. Die Gruppe ist am besten bekannt für ihre BlackEnergy-Kampagne, den Industroyer-Angriff auf das ukrainische Stromnetz und den NotPetya-Ausbruch, einem der verheerendsten Cyberangriffe in der Geschichte.
Die Sandworm-Gruppe greift Opfer an, die Exim-Software auf ihren öffentlich zugänglichen MTAs nutzen, indem sie einen Befehl im „MAIL FROM“- Feld einer SMTP (Simple Mail Transfer Protocol)-Nachricht sendet. Wenn CVE-2019-10149 erfolgreich ausgenutzt wird, sind Angreifer in der Lage, beliebigen Code auszuführen. Bei Ausnutzung der Schwachstelle lädt die Opfermaschine anschließend ein Shell-Skript von einer Domäne herunter, die den Angreifern gehört, das versucht, privilegierte Benutzer hinzuzufügen, Netzwerksicherheitseinstellungen zu deaktivieren und SSH-Konfigurationen zu aktualisieren, um zusätzlichen Fernzugriff zu ermöglichen. Während des Angriffs nutzt die Sandworm-Gruppe auch andere Schwachstellen in Exim-Mail-Servern: CVE-2019-10149, CVE-2019-15846 und CVE-2019-16928. Die Gruppe nutzt seit mindestens August 2019 auf diese Weise ungepatchte Mail-Server aus.
Die von Osman Demir veröffentlichte Community-Threat-Hunting-Regel ermöglicht die Erkennung von Angriffen auf Exim-Server, die von der Sandworm-Gruppe durchgeführt werden: https://tdm.socprime.com/tdm/info/ysGRM8W71hlN/CSH4g3IBjwDfaYjKJ8f-/?p=1
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Initialer Zugriff
Techniken: Öffentliche Anwendungen ausnutzen (T1190)
