Rackspace официально подтвердила , что за кибератаку, произошедшую 2 декабря, ответственна группировка Play. Злоумышленники получили доступ к сервису электронной почты Rackspace Hosted Exchange, используя эксплойт нулевого дня.
Как говорят представители компании, эксплойт связан с уязвимостью повышения привилегий под идентификатором CVE-2022-41080 . Расследование, проведенное Rackspace, показало, что хакеры сумели получить доступ к почтовой переписке, календарям-планировщикам, спискам задач, адресной книге и прочим данным в PST-файлах (Personal Storage Table) 27 клиентов Rackspace. Однако компания заявила, что нет никаких доказательств использования или распространения этих данных. Сейчас организация планирует свернуть сервис Hosted Exchange и перевести 30 000 клиентов на новую платформу Microsoft 365.
Пока неизвестно, заплатила ли Rackspace выкуп киберпреступникам.
Стоит отметить, что сообщение о произошедшем последовало за отчетом ИБ-фирмы Crowdstrike, пролившей свет на новый метод атаки, используемый группировкой Play. Технику назвали OWASSRF, она используется для проведения кибератак на серверы Exchange, к которым не применены патчи, устраняющие уязвимости CVE-2022-41040 и CVE-2022-41082 . Как говорят специалисты, последовательное использование CVE-2022-41080 и CVE-2022-41082, позволяет хакерам удаленно выполнять произвольный код в обход правил блокировки Outlook Web Access (OWA).