മൈക്രോസോഫ്റ്റ് ഉപയോക്താക്കളെ അവരുടെ എക്സ്ചേഞ്ച് സെർവറുകൾ കാലികമായി നിലനിർത്താനും വിൻഡോസ് എക്സ്റ്റെൻഡഡ് പ്രൊട്ടക്ഷൻ ഓണാക്കുന്നതും പവർഷെൽ സീരിയലൈസേഷൻ പേലോഡുകളുടെ സർട്ടിഫിക്കറ്റ് അടിസ്ഥാനമാക്കിയുള്ള സൈനിംഗ് സജ്ജീകരിക്കുന്നതും പോലുള്ള മുൻകരുതലുകൾ എടുക്കാൻ ഉപദേശിക്കുന്നു.
പാച്ച് ചെയ്യാത്ത എക്സ്ചേഞ്ച് സെർവറുകളെ ആക്രമിക്കാൻ ശ്രമിക്കുന്ന ആക്രമണകാരികൾ തടയില്ലെന്ന് സോഫ്റ്റ്വെയർ ഭീമന്റെ എക്സ്ചേഞ്ച് ടീം ഒരു പോസ്റ്റിൽ പറഞ്ഞു. ഡാറ്റ മോഷ്ടിക്കാനോ മറ്റ് തെറ്റായ പ്രവർത്തനങ്ങൾ നടത്താനോ ശ്രമിക്കുന്ന ശത്രുക്കളായ അഭിനേതാക്കളിലേക്ക് പാച്ച് ചെയ്യാത്ത ഓൺ-പ്രിമൈസ് എക്സ്ചേഞ്ച് ഇൻഫ്രാസ്ട്രക്ചറിന്റെ മൂല്യം വളരെ വലുതാണ്.
മൈക്രോസോഫ്റ്റ് പുറത്തുവിട്ട ലഘൂകരണങ്ങൾ ഒരു താൽക്കാലിക പരിഹാരം മാത്രമാണെന്നും സെർവർ സുരക്ഷിതമാക്കുന്നതിന് ആവശ്യമായ സുരക്ഷാ അപ്ഗ്രേഡുകൾ ഇൻസ്റ്റാൾ ചെയ്യാൻ ഉപയോക്താക്കളെ ആവശ്യപ്പെടുന്ന "ആക്രമണത്തിന്റെ എല്ലാ ക്രമമാറ്റങ്ങളിൽ നിന്നും സംരക്ഷിക്കാൻ അപര്യാപ്തമായിത്തീരുകയും ചെയ്യാം" എന്നും അഭിപ്രായപ്പെട്ടു.
Bitdefender-ൽ നിന്നുള്ള ഒരു സാങ്കേതിക ഉപദേശത്തിന്റെ ഈ ആഴ്ചയുടെ പ്രകാശനത്തിൽ എക്സ്ചേഞ്ചിന്റെ ഒരു "തികഞ്ഞ ലക്ഷ്യം" എന്ന വിവരണവും 2022 നവംബർ അവസാനം മുതൽ ProxyNotShell / OWASSRF ചൂഷണ ശൃംഖലകൾ ഉപയോഗിച്ച ചില യഥാർത്ഥ ആക്രമണങ്ങളുടെ ടൈംലൈനും ഉൾപ്പെടുത്തിയിട്ടുണ്ട്.
എക്സ്ചേഞ്ചിന് ഫ്രണ്ട്എൻഡ്, ബാക്ക്എൻഡ് സേവനങ്ങളുടെ ഒരു സങ്കീർണ്ണ ശൃംഖലയും അതുപോലെ തന്നെ ബാക്ക്വേർഡ് കോംപാറ്റിബിളിറ്റിക്കായുള്ള പഴയ കോഡും ഉണ്ട്, ബിറ്റ്ഡിഫെൻഡറിലെ മാർട്ടിൻ സുഗെക് പറയുന്നു. ഫ്രണ്ട് എൻഡ് [ക്ലയന്റ് ആക്സസ് സർവീസസ്] ലെയറിൽ നിന്ന് വരുന്ന അഭ്യർത്ഥനകൾ ബാക്കെൻഡ് സേവനങ്ങൾ വിശ്വസിക്കുന്നു.
നിരവധി ബാക്കെൻഡ് സേവനങ്ങൾ എക്സ്ചേഞ്ച് സെർവർ തന്നെ പ്രവർത്തിപ്പിക്കുന്നു, ഇതിന് സിസ്റ്റം പ്രത്യേകാവകാശങ്ങളുണ്ട്, ഇത് മറ്റൊരു കാരണമാണ്. കൂടാതെ, ചൂഷണങ്ങൾ ആക്രമണകാരിക്ക് റിമോട്ട് PowerShell സേവനത്തിലേക്ക് അനധികൃത ആക്സസ് നൽകുകയും, ക്ഷുദ്ര കമാൻഡുകൾ നടപ്പിലാക്കുന്നതിനുള്ള വാതിൽ ഫലപ്രദമായി തുറക്കുകയും ചെയ്യും.
അതിനായി, പ്രോക്സിനോട്ട്ഷെൽ, OWASSRF എന്നിവയുടെ ബലഹീനതകൾ ഉപയോഗിച്ചുള്ള ആക്രമണങ്ങൾ ഓസ്ട്രിയൻ, കുവൈറ്റ്, പോളിഷ്, ടർക്കിഷ്, യുണൈറ്റഡ് സ്റ്റേറ്റ്സ് അധിഷ്ഠിത കൺസൾട്ടൻസി, നിയമ, നിർമ്മാണ, റിയൽ എസ്റ്റേറ്റ്, മൊത്തവ്യാപാര മേഖലകളെ ലക്ഷ്യം വച്ചിട്ടുണ്ട്.
. വെബ് ഷെല്ലുകളും റിമോട്ട് മോണിറ്ററിംഗ് ആന്റ് മാനേജ്മെന്റ് (RMM) ടൂളുകളും സ്ഥാപിക്കാൻ ലക്ഷ്യമിടുന്ന അണുബാധകൾ, ConnectWise Control, GoTo Resolve എന്നിവ ഭൂരിഭാഗം ആക്രമണങ്ങളുടെയും പര്യവസാനമായി കണക്കാക്കപ്പെടുന്നു, അവ ശ്രദ്ധ കേന്ദ്രീകരിക്കുകയും ലക്ഷ്യമാക്കുകയും ചെയ്യുന്നതിനുപകരം അവസരവാദമാണെന്ന് വിശേഷിപ്പിക്കപ്പെടുന്നു.
വെബ് ഷെല്ലുകൾ ഉപയോഗിച്ച്, കുറ്റവാളികൾക്ക് വിവിധങ്ങളായ അധിക ജോലികൾ ചെയ്യാനും സ്ഥിരമായ റിമോട്ട് ആക്സസ് ടെക്നിക് നൽകുന്നതിന് പുറമെ ലാഭത്തിനായി മറ്റ് ഹാക്കർ ഗ്രൂപ്പുകളിലേക്കുള്ള ആക്സസ് പുനർവിൽപ്പന നടത്താനും കഴിയും.
ചില സന്ദർഭങ്ങളിൽ പേലോഡുകൾ ഹോസ്റ്റുചെയ്യാൻ ഉപയോഗിക്കുന്ന സ്റ്റേജിംഗ് സെർവറുകൾ ഇതിനകം തന്നെ മൈക്രോസോഫ്റ്റ് എക്സ്ചേഞ്ച് സെർവറുകൾ ബാധിച്ചതിനാൽ ആക്രമണങ്ങളുടെ വ്യാപ്തി വർദ്ധിപ്പിക്കാൻ ഇതേ സാങ്കേതികവിദ്യ ഉപയോഗിച്ചിരിക്കാം.
കോബാൾട്ട് സ്ട്രൈക്ക് ഡൗൺലോഡ് ചെയ്യാനുള്ള എതിരാളികളുടെ വിഫലശ്രമങ്ങളും, സിസ്റ്റം വിവരങ്ങൾ നേടാനും റിവേഴ്സ് ഷെല്ലുകൾ സൃഷ്ടിക്കാനും കഴിയുന്ന GoBackClient എന്ന കോഡ്നാമമുള്ള Go-അടിസ്ഥാനത്തിലുള്ള ഇംപ്ലാന്റും കാണപ്പെട്ടു.
ക്യൂബയുടെ (COLDDRAW എന്നും അറിയപ്പെടുന്നു) ransomware, UNC2596 (ട്രോപ്പിക്കൽ സ്കോർപിയസ് എന്നും അറിയപ്പെടുന്നു) ഡെവലപ്പർമാർക്ക് Microsoft Exchange കേടുപാടുകൾ ദുരുപയോഗം ചെയ്ത ചരിത്രമുണ്ട്. ഒരു ആക്രമണത്തിൽ, ProxyNotShell എക്സ്പ്ലോയിറ്റ് സീക്വൻസ് ഉപയോഗിച്ച് BUGHATCH ഡൗൺലോഡർ ഉപേക്ഷിച്ചു.
യഥാർത്ഥ അണുബാധ വെക്റ്റർ നിരന്തരം മാറിക്കൊണ്ടിരിക്കുന്നുണ്ടെങ്കിലും, ഓരോ പുതിയ അവസരവും പ്രയോജനപ്പെടുത്താൻ ഭീഷണിപ്പെടുത്തുന്ന അഭിനേതാക്കൾ ഉത്സുകരാണെങ്കിലും, അവരുടെ ചൂഷണത്തിനു ശേഷമുള്ള പ്രവർത്തനങ്ങൾ എല്ലാവർക്കും അറിയാമെന്ന് സുഗെക് പറഞ്ഞു. സമകാലിക സൈബർ ആക്രമണങ്ങൾക്കെതിരായ ഏറ്റവും മികച്ച പ്രതിരോധമാണ് ഡിഫൻസ് ഇൻ ഡെപ്ത് ആർക്കിടെക്ചർ.