Podle aktuálních zjištění bezpečnostních expertů zneužívá zranitelnost ProxyShell v e-mailových serverech Microsoft Exchange stále více útočných skupin. ProxyShell je mladší obdobou zranitelnosti ProxyLogon, která způsobila poplach mezi odborníky na kybernetickou bezpečnost začátkem loňského roku. S ohledem na celosvětovou rozšířenost softwaru je riziko útoků stále vysoké i pro Českou republiku, kde dosud neproběhly aktualizace a opravy u několika stovek serverů.
Podle posledních telemetrických údajů společnosti ESET využívají řetězec zranitelností ProxyShell v MS Exchange APT skupiny TA410, TA428, SparklingGoblin, RedFoxtrot a jeden dosud neidentifikovaný aktér. Skupiny zřejmě využily zranitelnost ProxyShell k instalaci kódu webshell na e-mailové servery obětí. Po zneužití zranitelnosti a nasazení webshellu se podle pozorování snažily na servery nainstalovat další škodlivý kód. Telemetrická data poukazují na masové zneužívání zranitelnosti v celosvětovém měřítku. Podle posledních dat je nejvíce případů zneužití detekováno v USA a Německu.
Skupiny zneužívající zranitelnost ProxyShell
TA410: Tato APT skupina je známá zejména tím, že se zaměřuje na organizace se sídlem v USA v sektoru veřejných služeb. Podle posledních informací skupina použila řetězec zranitelností ProxyShell k napadení serveru MS Exchange patřícího náboženské organizaci v Maďarsku a také serveru výrobní společnosti v Japonsku.
TA428: Jedná se o skupinu APT, která je aktivní minimálně od roku 2014 a jejímž cílem jsou vládní organizace ve východní Asii, obzvláště v Mongolsku a Rusku. Skupina zneužila řetězec zranitelností ProxyShell k napadení serveru MS Exchange, který vlastní jedno z ministerstev zahraničních věcí v Evropě.
SparklingGoblin: Tato APT skupina má určitou spojitost s Winnti Group a částečně se prolíná se skupinou APT41. Zaměřuje se především na východní a jihovýchodní Asii. Skupina využila řetězec zranitelností ProxyShell k útoku na server univerzity v Hongkongu.
RedFoxtrot: Tato skupina cílí na vládní, obranný a telekomunikační sektor ve Střední Asii, Indii a Pákistánu. Skupina použila ProxyShell při útoku na server MS Exchange patřící poradenské společnosti v oblasti IT a obchodu se sídlem v Pákistánu.
Klastr ApplicationUpdate: Zatím se nepodařilo jednoznačně připsat tuto aktivitu některé ze známých skupin. Tento klastr byl identifikován na základě analýzy informací, které na Twitteru zveřejnili dva bezpečnostní výzkumníci. Společnost ESET vyhledala podobnou aktivitu ve svých telemetrických údajích a našla 13 dalších serverů MS Exchange napadených prostřednictvím ProxyShell, přičemž všechny se nacházely v USA. Mezi oběťmi těchto útoků bylo několik organizací z oblasti zdravotnictví, developerská společnost, prodejce hardwaru, dodavatel stavebních materiálů, stavební a inženýrské společnosti, městský úřad a dvě instituce okresní správy.
Zdroj: ESET