Mailservers geïnfecteerd met malware via oud Exim-lek

Criminelen maken gebruik van een beveiligingslek in de mailserversoftware Exim om kwetsbare mailservers met malware te infecteren. Volgens het Nationaal Cyber Security Centrum (NCSC) is deze software op minstens 183.000 systemen in Nederland geïnstalleerd. Afgelopen juni verscheen er een patch voor het lek.

Via deze kwetsbaarheid kan een kwaadwillende vanaf een afstand commando’s met rootrechten uitvoeren. Securitybedrijf Positive Technologies heeft dit onlangs bekendgemaakt.

Cryptominer

Vlak na de publicatie van de beveiligingsupdate werden de eerste aanvallen al gesignaleerd. Enkele maanden later worden er nog steeds aanvallen waargenomen. Cybercriminelen pogen via de kwetsbaarheid een cryptominer op de mailserver te installeren om de cryptovaluta Monero te laten delven.

Sustes

De malware probeert ook andere systemen te besmetten. Het gaat om systemen die via SSH toegankelijk zijn en in de known hosts lijst van SSH staan. De malware met de naam Sustes gebruikt niet alleen de Exim-kwetsbaarheid. Ook beveiligingslekken in Redis en Hadoop YARN ResourceManager worden hiervoor benut. Verder poogt Sustes met bruteforce-aanvallen accounts te compromitteren.

Aanmelden voor onze nieuwsbrief