Segundo site Recorded Future, desde o início do mês houve um aumento expressivo de comunicações para a rede PlugX de comando e controle (C&C), o que indica que as vulnerabilidades recém-descobertas no Microsoft Exchange, identificadas pelos CVE-2021-26855 e CVE-2021-27065 estejam sendo exploradas de forma maciça. De acordo com as observações, o grupo tem atingido estes servidores implementando web shells para poder carregar o malware PlugX na pós-exploração.

O ataque já havia sido detectado em dezenas de países na Ásia, Europa e América do Norte.
Como procedimentos de mitigação, recomenda-se:

• Bloquear os IPs externos e domínios relacionados à botnet PlugX
• Garantir que as últimas atualizações estejam aplicadas no Microsoft Exchange
• Executar varreduras anti-malware nos servidores
• Revisar o permissionamento de credenciais, garantindo o “least privilege”

Nós podemos ajudar a proteger sua empresa contra ataques cibernéticos. Fale com a gente.