黑客可以利用這些漏洞在不知道有效賬戶憑證的情況下接管任意可訪問的 Exchange 服務器。截止發稿為止,目前有超過 5000 臺右鍵服務器檢測到瞭 webshells,超過 6 萬個客戶受到影響,而歐洲銀行業管理局等多個重要機構遭到攻擊。
該漏洞最早是由知名漏鬥研究專傢 Orange Tsai 發現的,他在 2021 年 1 月 5 日向微軟報告瞭這些漏洞。不過根據外媒 Volexity 的報道,有跡象表明早在 1 月 3 日就有黑客利用該漏洞鏈發起瞭攻擊。因此,如果這些日期是正確的,那麼這些漏洞要麼是由兩個不同的漏洞研究團隊獨立發現的,要麼就是這些漏洞的信息以某種方式被惡意團夥獲得。
2021 年 2 月 28 日開始,不斷有 Exchange 用戶遭到網絡攻擊,首先是 Tick,然後 LuckyMouse、Calypso 和 Winnti 團夥也開始迅速發起攻擊。這表明,多名黑客在補丁發佈之前就獲得瞭漏洞的細節,這意味著我們可以摒棄他們通過對微軟更新進行逆向工程構建漏洞的可能性。
在補丁發佈的第 2 天,黑客采取瞭更加瘋狂的攻擊,包括 Tonto Team 和 Mikroceen 等團隊也對 Exchange 服務器發起攻擊。有趣的是,所有這些都是對間諜活動感興趣的高級持續威脅(APT)組織,除瞭一個例外(DLTMiner),它與一個已知的加密采礦活動有關。下圖是攻擊時間線概要。
在過去幾天時間裡,ESET 研究人員一直在密切關註這些漏洞的 webshell 檢測數量。基於 ESET 的遙測數據,在補丁發佈日有超過 115 個國傢的 5000 多臺 Exchange 服務器被標記為 webshell,而實際受感染的服務器數量肯定更多。圖 2 展示瞭微軟補丁前後的檢測情況。
圖 3 的熱圖顯示瞭根據 ESET 遙測的 webshell 檢測的地理分佈情況。由於大規模的利用,它很可能代表瞭全球安裝 ESET 安全產品的易受攻擊的 Exchange 服務器的分佈情況。
ESET 已經確定瞭超過 10 個不同的網絡威脅者,他們很可能利用最近的 Microsoft Exchange RCE,以便在受害者的電子郵件服務器上安裝植入物。
我們的分析是基於電子郵件服務器,我們在這些服務器上發現瞭離線地址簿(OAB)配置文件中的webshell,這是利用RCE漏洞的一種特殊技術,已經在42單元的一篇博客文章中詳細介紹過。遺憾的是,我們不能排除一些威脅行為者可能劫持瞭其他組投放的webshells,而不是直接使用該漏洞。一旦漏洞被利用,webshell 被安裝到位,我們觀察到有人試圖通過它安裝更多的惡意軟件。我們還註意到,在某些情況下,幾個威脅行為者針對的是同一個組織。
留言列表
