Unità di cyberspionaggio sponsorizzata dallo stato russo nota per i suoi attacchi distruttivi che sta attivamente compromettendo i server di posta Exim tramite una vulnerabilità di sicurezza critica (CVE-2019-10149). Alla fine di maggio, la National Security Agency ha pubblicato un Avviso di sicurezza informatica che ha avvertito di una campagna legata al Sandworm Group. Il gruppo è meglio conosciuto per la sua campagna BlackEnergy, l’ attacco Industroyer alla rete elettrica ucraina, e all’ epidemia di NotPetya, uno dei più devastanti attacchi informatici della storia.
Il gruppo Sandworm attacca le vittime utilizzando il software Exim sui loro MTA esposti pubblicamente inviando un comando nel campo “MAIL FROM” di un messaggio SMTP (Simple Mail Transfer Protocol). Quando CVE-2019-10149 viene sfruttato con successo, gli avversari sono in grado di eseguire il codice di loro scelta. Quando la vulnerabilità è sfruttata, la macchina della vittima successivamente scaricherà ed eseguirà uno script shell da un dominio di proprietà degli attaccanti, che cercherà di aggiungere utenti privilegiati, disabilitare le impostazioni di sicurezza di rete e aggiornare le configurazioni SSH per abilitare ulteriori accessi remoti. Durante l’attacco, il gruppo Sandworm sfrutta anche altre vulnerabilità nei server di posta Exim: CVE-2019-10149, CVE-2019-15846 e CVE-2019-16928. Il gruppo ha sfruttato server di posta non patchati in questo modo almeno dall’agosto 2019.
La regola di ricerca di minacce della comunità rilasciata da Osman Demir consente il rilevamento di attacchi sui server Exim eseguiti dal gruppo Sandworm: https://tdm.socprime.com/tdm/info/ysGRM8W71hlN/CSH4g3IBjwDfaYjKJ8f-/?p=1
La regola ha traduzioni per le seguenti piattaforme:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Accesso Iniziale
Tecniche: Sfruttamento delle applicazioni esposte al pubblico (T1190)
