Una unidad de ciberespionaje patrocinada por el estado ruso conocida por sus ataques destructivos está comprometiendo activamente servidores de correo Exim a través de una vulnerabilidad crítica de seguridad (CVE-2019-10149). A finales de mayo, la Agencia de Seguridad Nacional publicó un Aviso de Seguridad Cibernética que advirtió sobre una campaña vinculada al Grupo Sandworm. El grupo es más conocido por su campaña BlackEnergy, el ataque Industroyer a la red eléctrica de Ucrania, y el brote de NotPetya, uno de los ciberataques más devastadores de la historia.
El grupo Sandworm ataca a las víctimas que utilizan software Exim en sus MTAs expuestos al público enviando un comando en el campo «MAIL FROM» de un mensaje SMTP (Protocolo Simple de Transferencia de Correo). Cuando CVE-2019-10149 es explotado con éxito, los adversarios pueden ejecutar código de su elección. Cuando se explota la vulnerabilidad, la máquina víctima descargaría y ejecutaría posteriormente un script shell desde un dominio propiedad de los atacantes, que intentará agregar usuarios privilegiados, desactivar configuraciones de seguridad de red y actualizar configuraciones de SSH para habilitar acceso remoto adicional. Durante el ataque, el grupo Sandworm también explota otras vulnerabilidades en servidores de correo Exim: CVE-2019-10149, CVE-2019-15846 y CVE-2019-16928. El grupo ha estado explotando servidores de correo sin parches de esta manera desde al menos agosto de 2019.
La regla de caza de amenazas comunitaria publicada por Osman Demir permite la detección de ataques en servidores Exim realizados por el grupo Sandworm: https://tdm.socprime.com/tdm/info/ysGRM8W71hlN/CSH4g3IBjwDfaYjKJ8f-/?p=1
La regla tiene traducciones para las siguientes plataformas:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Acceso Inicial
Técnicas: Explotar Aplicación Expuesta al Público (T1190)
