Email-серверы на Exim в настоящее время находятся под атакой

Олег Иванов 14 Июня 2019 - 10:05

...

Киберпреступники в настоящее время активно атакуют почтовые серверы, использующие для своей работы Exim. Напомним, что exim-серверы составляют 57% от общего количества почтовых серверов в Сети. Известно, что злоумышленники используют недавнюю уязвимость в популярном агенте пересылки сообщений.

Непропатченные серверы серьезно рискуют — атакующие пытаются получить полный контроль над целью. Если уязвимость, отслеживаемая под идентификатором CVE-2019-10149, все еще актуальна для вашего сервера, киберпреступники смогут успешно его атаковать.

По меньшей мере две киберпреступные группы на сегодняшний день атакуют уязвимые почтовые серверы. Одна из них использует для атак сервер, расположенный в дарквебе, вторая — общедоступный сервер.

По словам экспертов, первая полна атак была замечена 9 июня. Злоумышленники использовали C&C-сервер, расположенный по адресу http://173[.]212.214.137/s.

Вторая группа начала свои атаки уже 10 июня, злоумышленники пытались залить на атакуемые серверы шелл-скрипт, добавляющий ключ SSH к root-аккаунту. Далее атакующие устанавливали бэкдор.

Напомним, что на прошлой неделе исследователи в области кибербезопасности из команды Qualys сообщили о критической уязвимости, затрагивающей более половины почтовых серверов в Сети. Проблема содержится в популярном агенте пересылки сообщений Exim.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Июня 2025 - 21:48

Security Capsule Корпорации Системы мониторинга событий безопасности SIEM-системы Инновационные Технологии в Бизнесе

В SC SIEM обновили правила корреляции и добавили сотни новых IOC

В первом квартале 2025 года команда «Инновационные Технологии в Бизнесе» провела крупное обновление правил корреляции в системе Security Capsule SIEM (SC SIEM). Цель — повысить эффективность обнаружения инцидентов за счёт актуальных индикаторов компрометации (IOC).

Что изменилось?

В обновлении — более 500 уникальных IOC, сгруппированных по тактикам, техникам и процедурам (TTP) и связанным с деятельностью известных кибергруппировок. На основе этих данных реализованы десятки новых корреляционных сценариев. Среди них:

фишинг и доставка вредоносных файлов (T1566.001, T1204.002);
использование легитимного ПО в злонамеренных целях (T1219);
удалённое управление, бэкдоры;
подмена обновлений, в том числе имитация ViPNet и Telegra.ph;
атаки через RDP и распространение стилеров и загрузчиков (например, Lumma, SnakeKeylogger, PubLoad, Bookworm).

Что включено в IOC?

Домены и IP-адреса, связанные с C2-инфраструктурой и вредоносной активностью:
checkip.dyndns.org, phpsymfony.com, resumeexpert.cloud, 104.21.48.1, 123.253.32.15 и др.
Фишинговые URL, маскирующиеся под Google Docs, Adobe, облачные сервисы:
cloud-workstation.com, telegra.ph/..., my.powerfolder.com/...
хеш-суммы вредоносных файлов (SHA256/MD5/SHA1):
стилеры (Lumma, SnakeKeylogger), бэкдоры (ToneShell, PhantomPyramid, Konni RAT), криптолокеры, MBR Killers
Профили группировок, упомянутые в отчётах:
Red Wolf, Rare Werewolf, Sticky Werewolf, APT37, Head Mare и др.
Техники по MITRE ATT&CK:
T1566.001, T1204.002, T1219, T1566.002, T1059.001

Что это даёт?

Обновление охватывает широкий спектр текущих угроз, включая APT-кампании, фишинг и распространение шпионского ПО. Правила корреляции помогают лучше связывать активность с определёнными группировками и их поведенческими шаблонами (TTP). Это позволяет быстрее реагировать на инциденты и проводить базовую атрибуцию атак.

Для пользователей SC SIEM

Пакет новых правил доступен для загрузки через интерфейс SC SIEM и совместим с актуальными версиями платформы.
Если вы используете SC SIEM для защиты КИИ, ИСПДн или ГИС — стоит убедиться, что обновление установлено: оно усиливает возможности по раннему выявлению угроз.

Email-серверы на Exim в настоящее время находятся под атакой

Читайте также