Hackere med tilknytning til kinesiske interesser udnytter gamle sårbarheder i blandt andet Microsoft Exchange til at få adgang til følsomme netværk og ledelseskommunikation.
Det viser ny analyse fra det japanske cybersikkerhedsselskab TrendAI. “Det viser risikoen ved at ikke at få lukket kendte sikkerhedshuller hurtigt,” siger den danske sikkerhedsekspert Jonas Hvarness Sebøk-Grandal fra TrendAI.
En ny rapport fra TrendAI (tidligere Trend Micro) kortlægger hackerkampagnen SHADOW-EARTH-053, som researcherne vurderer er knyttet til kinesiske interesser. Kampagnen har ramt myndigheder, forsvarsrelaterede IT-leverandører og transportorganisationer i Syd-, Øst- og Sydøstasien samt ét NATO-land.
Ifølge analysen udnytter angriberne kendte sårbarheder i blandt andet Microsoft Exchange og Microsoft IIS – herunder ProxyLogon – for at få adgang til systemer med direkte adgang til internettet.
Efter kompromitteringen installerer angriberne webshells samt malware for at bevæge sig videre i netværket, stjæle loginoplysninger og eksportere e-maildata fra ledelsesniveau.
Jonas Hvarness Sebøk-Grandal
“Rapporten viser meget tydeligt, at ældre og kendte sårbarheder stadig giver adgang til kritiske miljøer, hvis de ikke bliver lukket i tide. Det gør det muligt for angribere at gennemføre omfattende spionageoperationer uden nødvendigvis at bruge nye eller avancerede exploits,”
siger Jonas Hvarness Sebøk-Grandal, country sales director for Danmark, Grønland og Færøerne hos TrendAI.
Samme netværk udnyttes af flere grupper
Et centralt fund i rapporten er overlap mellem SHADOW-EARTH-053 og en anden aktivitet, som researcherne sporer under navnet SHADOW-EARTH-054.
Næsten halvdelen af SHADOW-EARTH-053’s mål blev også ramt af SHADOW-EARTH-054. Researcherne identificerede både fælles værktøjer og identiske fil-hashes på tværs af aktiviteterne.
Ifølge rapporten tyder det på, at flere grupper kan udnytte de samme kompromitterede netværk uafhængigt af hinanden frem for at gennemføre enkeltstående angreb.
“Det peger på et mere komplekst cybertrusselsbillede, hvor flere aktører potentielt opererer i de samme kompromitterede miljøer samtidig. Det øger risikoen og gør det vanskeligere for organisationer at få fuldt overblik over et angreb,” siger Jonas Hvarness Sebøk-Grandal.
Rapporten viser også, at angriberne har haft særlig interesse i leverandører med relation til myndigheder og forsvarsrelaterede miljøer.
Ifølge TrendAI understreger kampagnen samtidig, hvor stor betydning kendte sårbarheder i systemer med direkte adgang fra internettet fortsat har i moderne cyberspionageoperationer.
“Mange organisationer fokuserer på nye trusler og avancerede angrebsteknikker, men rapporten viser, at manglende patching af kendte sårbarheder fortsat kan få alvorlige konsekvenser,” siger Jonas Hvarness Sebøk-Grandal.
Læs hele rapporten her:
https://www.trendmicro.com/en_us/research/26/d/inside-shadow-earth-053.html
Om TrendAI
TrendAI, en forretningsenhed under Trend Micro og global leder inden for AI-sikkerhed, gør verden mere sikker for digital informationsudveksling på tværs af virksomheder, myndigheder og organisationer. Med afsæt i sikkerhedsekspertise og innovation udnytter TrendAI kunstig intelligens til at beskytte mere end 500.000 virksomheder og millioner af privatpersoner på tværs af AI, cloud, netværk, endpoints og enheder. AI uden frygt. TrendMicro.com
