Unidade de ciberespionagem patrocinada pelo estado russo conhecida por seus ataques destrutivos está comprometendo ativamente servidores de e-mail Exim através de uma vulnerabilidade crítica de segurança (CVE-2019-10149). No final de maio, a Agência de Segurança Nacional divulgou um Alerta de Segurança Cibernética que alertava sobre uma campanha ligada ao grupo Sandworm. O grupo é mais conhecido por sua campanha BlackEnergy, o ataque Industroyer à rede elétrica ucraniana, e o surto de NotPetya, um dos ataques cibernéticos mais devastadores da história.
O grupo Sandworm ataca vítimas usando software Exim em seus MTAs expostos publicamente, enviando um comando no campo “MAIL FROM” de uma mensagem SMTP (Simple Mail Transfer Protocol). Quando o CVE-2019-10149 é explorado com sucesso, os adversários são capazes de executar o código de sua escolha. Quando a vulnerabilidade é explorada, a máquina vítima posteriormente baixa e executa um script shell de um domínio de propriedade dos atacantes, que tentará adicionar usuários privilegiados, desativar configurações de segurança de rede e atualizar as configurações de SSH para habilitar acesso remoto adicional. Durante o ataque, o grupo Sandworm também explora outras vulnerabilidades em servidores de e-mail Exim: CVE-2019-10149, CVE-2019-15846 e CVE-2019-16928. O grupo tem explorado servidores de e-mail não corrigidos desta forma desde pelo menos agosto de 2019.
A regra de caça à ameaça da comunidade lançada por Osman Demir permite a detecção de ataques em servidores Exim realizados pelo grupo Sandworm: https://tdm.socprime.com/tdm/info/ysGRM8W71hlN/CSH4g3IBjwDfaYjKJ8f-/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Acesso Inicial
Técnicas: Explorar Aplicação Exposta Publicamente (T1190)
