More  

收藏本站

電腦請使用 Ctrl + D 加入最愛
手機請使用 收藏
關閉

小編的世界 優質文選 主機

至少有10家APT黑客組織對微軟Exchange服務器發起攻擊


字體大小:
2021年3月12日 -
:     
 

cnBeta

優質創作者

在過去幾天時間裏,ESET 研究人員一直在密切關注這些漏洞的 webshell 檢測數量。基於 ESET 的遙測數據,在補丁發布日有超過 115 個國家的 5000 多台 Exchange 服務器被標記為 webshell,而實際受感染的服務器數量肯定更多。圖 2 展示了微軟補丁前後的檢測情況。

圖 3 的熱圖顯示了根據 ESET 遙測的 webshell 檢測的地理分布情況。由於大規模的利用,它很可能代表了全球安裝 ESET 安全產品的易受攻擊的 Exchange 服務器的分布情況。

ESET 已經確定了超過 10 個不同的網絡威脅者,他們很可能利用最近的 Microsoft Exchange RCE,以便在受害者的電子郵件服務器上安裝植入物。我們的分析是基於電子郵件服務器,我們在這些服務器上發現了離線地址簿(OAB)配置文件中的webshell,這是利用RCE漏洞的一種特殊技術,已經在42單元的一篇博客文章中詳細介紹過。遺憾的是,我們不能排除一些威脅行為者可能劫持了其他組投放的webshells,而不是直接使用該漏洞。一旦漏洞被利用,webshell 被安裝到位,我們觀察到有人試圖通過它安裝更多的惡意軟件。我們還注意到,在某些情況下,幾個威脅行為者針對的是同一個組織。