למעלה מעשר קבוצות תקיפה שונות מנצלות את הפגיעויות האחרונות ב-Microsoft Exchange כדי לתקוף את שרתי הדוא"ל.
ESET זיהתה יותר מ-5,000 שרתי דוא"ל שהושפעו מהפעילות הזדונית הקשורה לאירוע. השרתים שייכים לארגונים – עסקיים וממשלות כאחד, מרחבי העולם, כולל פרופילים גבוהים. לפיכך, האיום אינו מוגבל רק לקבוצת התקיפה עליה דווח כמנצלת העיקרית של הפגיעות, הפניום (Hafnium).
בתחילת מרץ פרסמה מיקרוסופט תיקונים עבור שרתי Exchange 2013, 2016, ו-2019 המתקנים סדרה של פגיעויות בהרצת קוד מרחוק (RCE). הפגיעות מאפשרת לתוקף להשתלט על כל שרת Exchange אליו ניתן להגיע, ללא צורך בידיעת פרטי החשבון והכניסה, מה שהופך את שרתי Exchange המחוברים לאינטרנט לפגיעים במיוחד.
מתיה פאו, חוקר ב-ESET, מסביר כי "יום לאחר ששוחררו התיקונים, התחלנו לראות תוקפים סורקים שרתי Exchange פגועים. מעניין לדעת שכל הקבוצות מתמקדות בריגול למעט קבוצה אחת שמתמקדת בקמפיינים של כריית מטבעות. עם זאת, אנו ככל הנראה נראה יותר ויותר תוקפים, כולל מפעילי מתקפות כופר, שמשיגים גישה לשרתים הללו במוקדם או במאוחר." החוקרים של ESET הבחינו כי חלק מקבוצות התקיפה ניצלו את הפגיעות עוד לפני ששוחררו התיקונים, "המשמעות היא שנוכל להשליך את האפשרות שקבוצות אלו בנו יכולות ניצול על ידי הנדסה הפוכה של עדכוני מיקרוסופט", מוסיף פאו.
נתוני הטלמטריה שמסמנים את נוכחותם של webshells (תוכנות וסקריפטים זדוניים המאפשרים שליטה מרחוק בשרת באמצעות דפדפן אינטרנט) ביותר מ-5,000 שרתים ייחודיים בלמעלה מ-115 מדינות.
זיהויים שעתיים של ESET עבור webshells של אחת מהפגיעויות האחרונות ב-Exchange
ESET זיהתה יותר מעשרה גורמי איום שונים אשר ככל הנראה מינפו את הפגיעות האחרונה על מנת להתקין תוכנות זדוניות כמו webshells ודלתות אחוריות על שרתי הדוא"ל של הקורבנות. בחלק מהמקרים כמה גורמי איום כיוונו אפילו לאותו הארגון.
בין קבוצות האיום ניתן למצוא את: Tick, LuckyMouse, Calypso, Webstiic, Winnti Group, Tonto Team, ShadowPad Activity ועוד.
"חשוב לתקן ולטפל בשרתי ה-Exchange (כולל אלו אשר לא חשופים לאינטרנט באופן ישיר) בהקדם האפשרי וללא דחיה. במקרים של סיכון, מנהלי המערכות צריכים להסיר את ה-webshells, לעדכן פרטי כניסה ולחקור אחר כל פעילות זדוניות נוספת. האירוע הוא תזכורת טובה לכך שיישומים מורכבים כמו Microsoft Exchange, או SharePoint לא צריכים להיות פתוחים לאינטרנט" מייעץ פאו.