Wielofalowe ataki na Microsoft Exchange uderzyły w azerbejdżańską firmę energetyczną

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Kompromitacja lokalnie utrzymywanego serwera Microsoft Exchange należy do najpoważniejszych incydentów bezpieczeństwa w środowiskach korporacyjnych. Tego typu system przechowuje krytyczną korespondencję, dane uwierzytelniające oraz metadane komunikacyjne, a po jego przejęciu napastnicy często zyskują punkt wyjścia do dalszej penetracji infrastruktury.

Opisana kampania wymierzona w nieujawnioną firmę energetyczną z Azerbejdżanu pokazuje, że pojedynczy wektor wejścia może być wykorzystywany wielokrotnie. Nawet częściowe działania naprawcze nie gwarantują bezpieczeństwa, jeśli organizacja nie usunie wszystkich mechanizmów trwałości i nie zamknie pierwotnej ścieżki dostępu.

W skrócie

Według ustaleń badaczy ataki trwały od końca grudnia 2025 roku do końca lutego 2026 roku i miały charakter wieloetapowy. Napastnicy wykorzystywali podatny serwer Microsoft Exchange jako powtarzalny punkt wejścia, a następnie wdrażali różne tylne furtki oraz utrzymywali obecność w środowisku ofiary.

Celem była firma z sektora ropy i gazu w Azerbejdżanie.
Kampania została powiązana z grupą FamousSparrow, znaną również jako UAT-9244.
W działaniach wykorzystano między innymi Deed RAT oraz TernDoor.
Atak miał cechy długoterminowej operacji cyberszpiegowskiej.

Kontekst / historia

Badacze przypisali kampanię z umiarkowaną do wysokiej pewnością grupie FamousSparrow. Jednocześnie wskazano częściowe podobieństwa taktyk do aktywności śledzonej pod nazwami Earth Estries oraz Salt Typhoon, co wpisuje incydent w szerszy krajobraz operacji APT ukierunkowanych na strategiczne sektory gospodarki.

Wybór celu nie był przypadkowy. Azerbejdżan odgrywa istotną rolę w regionalnym bezpieczeństwie energetycznym, dlatego organizacje z tego sektora są szczególnie atrakcyjne z perspektywy rozpoznania wywiadowczego, pozyskiwania danych operacyjnych oraz budowania długoterminowych zdolności do przyszłych działań.

Analiza techniczna

Z udostępnionych informacji wynika, że początkowy dostęp uzyskano przez łańcuch ProxyNotShell, czyli dobrze znany wektor ataku na środowiska Microsoft Exchange. Po wejściu do infrastruktury operatorzy próbowali wdrożyć web shelle, aby utrzymać trwałą obecność i zapewnić sobie możliwość ponownego dostępu.

Kolejnym etapem było użycie techniki DLL side-loading, polegającej na uruchamianiu złośliwego kodu przy pomocy legalnych plików binarnych. W jednej z fal wykorzystano komponent LogMeIn Hamachi do załadowania spreparowanej biblioteki DLL, która uruchamiała ładunek Deed RAT. Taki mechanizm utrudnia wykrycie, ponieważ złośliwe działanie zostaje ukryte w pozornie prawidłowym przepływie pracy zaufanej aplikacji.

W następnej fazie atakujący próbowali wdrożyć backdoora TernDoor przy użyciu Mofu Loader, pełniącego rolę loadera shellcode. Choć ta próba miała zakończyć się niepowodzeniem, sam fakt użycia alternatywnego zestawu narzędzi wskazuje na elastyczność operatorów oraz gotowość do szybkiej zmiany metod utrzymania dostępu.

W trzeciej fali kampanii ponownie użyto zmodyfikowanej wersji Deed RAT. Dodatkowo odnotowano oznaki ruchu bocznego oraz budowy nadmiarowych punktów dostępu, co jest charakterystyczne dla dojrzałych operacji APT nastawionych nie na jednorazową infekcję, lecz na długotrwałe osadzenie się w środowisku ofiary.

Konsekwencje / ryzyko

Najważniejszy wniosek z incydentu jest prosty: częściowa remediacja nie wystarcza. Usunięcie pojedynczych artefaktów bez pełnego załatania systemu, rotacji poświadczeń i identyfikacji wszystkich mechanizmów trwałości może doprowadzić do szybkiej reinfekcji tą samą drogą.

Dla organizacji z sektora energetycznego ryzyko nie ogranicza się do wycieku poczty elektronicznej. Długotrwała obecność przeciwnika umożliwia mapowanie infrastruktury, rozpoznanie zależności operacyjnych, identyfikację kont uprzywilejowanych oraz przygotowanie gruntu pod przyszłe działania o większej skali.

możliwy wyciek korespondencji i danych biznesowych,
rozpoznanie architektury sieci i systemów krytycznych,
eskalacja uprawnień i przejęcie kont administracyjnych,
tworzenie wielu punktów trwałości utrudniających pełne usunięcie intruza.

Rekomendacje

Organizacje utrzymujące Microsoft Exchange on-premises powinny przede wszystkim zweryfikować stan aktualizacji i potwierdzić, że nie istnieją znane ścieżki ponownego wejścia. Sam patch management nie wystarczy, jeśli nie towarzyszy mu aktywne polowanie na zagrożenia oraz analiza śladów kompromitacji w logach Exchange, IIS i Active Directory.

Po wykryciu incydentu konieczna jest rotacja poświadczeń dla kont administracyjnych, usługowych i wszystkich tożsamości potencjalnie naruszonych. Należy również zakładać, że napastnik mógł uzyskać dostęp do dodatkowych sekretów, tokenów sesyjnych i innych danych uwierzytelniających.

przeprowadzić pełny przegląd poziomu załatania Exchange,
sprawdzić środowisko pod kątem web shelli i nietypowych bibliotek DLL,
monitorować przypadki DLL side-loadingu oraz nietypowe procesy uruchamiane przez legalne binaria,
włączyć MFA, segmentację sieci oraz rozszerzoną telemetrię EDR/XDR,
przeprowadzać ćwiczenia purple team i testy odporności na ponowną kompromitację.

Podsumowanie

Incydent w azerbejdżańskiej firmie energetycznej pokazuje, że przejęcie Microsoft Exchange może być początkiem długotrwałej operacji cyberszpiegowskiej prowadzonej w kilku falach. Kluczowym problemem okazała się nie tylko sama podatność, lecz także możliwość jej ponownego wykorzystania mimo wcześniejszych prób naprawy.

Dla obrońców to wyraźny sygnał, że skuteczna odpowiedź na tego rodzaju zagrożenia musi łączyć szybkie łatanie systemów, pełną walidację remediacji, reset tożsamości, analizę mechanizmów trwałości oraz stały monitoring środowiska. W przeciwnym razie przeciwnik może wielokrotnie odzyskiwać dostęp i rozwijać swoją obecność w sieci ofiary.