___

Несколько часов назад АНБ в своем только что открытом твиттере, посвященном киберугрозам, разместило ссылку на сделанное сегодня предупреждение о том, что русские хакеры из ГРУ взламывают почтовые серверы по всему миру. АНБ сообщает, что APT Sandworm Team с августа прошлого года использует уязвимость CVE-2019-10149 в почтовом сервере Exim, которая позволяет удаленное выполнение кода с рутовыми правами. После использования эксплойта хакеры загружали скрипт на атакованную систему, который заводил привилегированных пользователей и создавал позиции для дальнейшего проникновения (журналисты BleepingComputer смогли раздобыть образец скрипта и разобрали атаку более подробно). При этом по состоянию на начало мая только половина почтовых серверов Exim была пропатчена до безопасного состояния, поэтому угроза более чем актуальна. В качестве TTPs, свидетельствующих о причастности Sandworm Team к киберкампании, американцы указывают два IP-адреса и домен, которые, по их мнению, принадлежат инфраструктуре этой APT. АНБ в своем предупреждении прямо обвиняет Главный центр специальных технологий (ГЦСТ) ГРУ aka в/ч 74455 в причастности к активности Sandworm Team. Кучно пошло. За три дня - три публичных обвинения ГРУ в масштабных кибератаках (2 от Германии и 1 от АНБ). Грета Тунберг протухла, коронавирус кончается, значит надо подвезти новых угроз мировому сообществу.