至少有10家APT黑客組織對微軟Exchange服務器發起攻擊

cnBeta

優質創作者

在過去幾天時間裏，ESET 研究人員一直在密切關注這些漏洞的 webshell 檢測數量。基於 ESET 的遙測數據，在補丁發布日有超過 115 個國家的 5000 多台 Exchange 服務器被標記為 webshell，而實際受感染的服務器數量肯定更多。圖 2 展示了微軟補丁前後的檢測情況。

圖 3 的熱圖顯示了根據 ESET 遙測的 webshell 檢測的地理分布情況。由於大規模的利用，它很可能代表了全球安裝 ESET 安全產品的易受攻擊的 Exchange 服務器的分布情況。

ESET 已經確定了超過 10 個不同的網絡威脅者，他們很可能利用最近的 Microsoft Exchange RCE，以便在受害者的電子郵件服務器上安裝植入物。我們的分析是基於電子郵件服務器，我們在這些服務器上發現了離線地址簿（OAB）配置文件中的webshell，這是利用RCE漏洞的一種特殊技術，已經在42單元的一篇博客文章中詳細介紹過。遺憾的是，我們不能排除一些威脅行為者可能劫持了其他組投放的webshells，而不是直接使用該漏洞。一旦漏洞被利用，webshell 被安裝到位，我們觀察到有人試圖通過它安裝更多的惡意軟件。我們還注意到，在某些情況下，幾個威脅行為者針對的是同一個組織。