ESET指出已有十多個駭客組織正在開採Exchange Server的ProxyLogon漏洞

下一個故事

國際資安大廠ESET發現已有十多個駭客組織正在開採微軟於3月2日修補、統稱為ProxyLogon的4個Exchange Server安全漏洞,而且自微軟公布相關漏洞之後,ESET所偵測到的惡意Web Shell大幅增加。

根據ESET的調查,在微軟公布及修補ProxyLogon漏洞之前,就有多個駭客組織開採了相關漏洞,從1月3日的Hafnium,2月28日的Tick,3月1日的LuckyMouse、Calypso Websiic,到3月2日的Winnti,而當微軟公布及修補漏洞之後,又再出現了Tonto、ShadowPad 、Opera、IIS、Mikroceen DLTMiner,而上述除了DLTMiner是為了植入挖礦程式之外,其它所有組織都是屬於鎖定間諜行動的APT駭客組織。

駭客的攻擊路徑類似,在利用ProxyLogon漏洞進駐受駭者系統之後,會先植入惡意的Web Shell,再安裝額外的惡意程式。於是,ESET密切觀察全球Exchange Server上的惡意Web Shell,發現在微軟發布及修補ProxyLogon漏洞之前,被嵌入惡意Web Shell的伺服器不超過200臺,但3月10日時,全球115個國家已有超過5,000臺伺服器含有惡意Web Shell。

ESET研究人員表示,他們至少看到了超過10個APT駭客組織濫用相關漏洞,並針對特定目標發動攻擊,這些駭客組織包括LuckyMouse、Tick,以及Winnti Group等。而對於目前全球的受害情況如何,ESET也提出相關數據──他們對自家用戶進行遙測的結果發現,該公司在全球超過115個國家裡,偵測到至少5千個已遭植入網頁殼層(Web Shell)、疑似受害的Exchange伺服器。

根據ESET的數據顯示,他們約從2月28日就陸續偵測到有Exchange伺服器受害,但在微軟發布修補程式之後,遭到攻擊者濫用CVE-2021-26855漏洞攻擊的郵件伺服器數量,約於世界協調時間(UTC)3月3日零時開始大幅增加,到了4時凌晨,最多出現將近2千臺伺服器被植入網頁殼層。再者,ESET也看到,一些受害組織的Exchange伺服器上,遭到多組人馬鎖定。


以下是ESET揭露的駭客組織與攻擊行動:
1.Tick(Bronze Butler)
開始發動攻擊時間:2021年2月28日
攻擊目標:一家東亞IT服務業者

2.LuckyMouse(APT27、Emissary Panda)
開始發動攻擊時間:2021年3月1日
攻擊目標:一個中東政府實體

3.Calypso
開始發動攻擊時間:2021年3月1日
攻擊目標:中東與北美政府實體

4.Websiic
開始發動攻擊時間:2021年3月1日
攻擊目標:7臺郵件伺服器。這些伺服器所有者的身分,包含了亞洲的IT、電信,以及工程公司,以及一個東歐政府機關。

5.Winnti Group(Barium、APT41)
開始發動攻擊時間:2021年3月2日
攻擊目標:一家石油公司,以及一家建築設備公司

6.Tonto Team(CactusPete)
開始發動攻擊時間:2021年3月3日
攻擊目標:東歐的一家採購公司,以及一家軟體開發暨資安顧問公司

7.未確認身分的駭客組織:此組駭客濫用ShadowPad的攻擊行動
開始發動攻擊時間:2021年3月3日
攻擊目標:一家東亞軟體開發公司,以及一家中東的房仲公司

8.未確認身分的駭客組織:此組駭客發動“Opera”Cobalt Strike攻擊行動
開始發動攻擊時間:2021年3月3日
攻擊目標:截至3月5日約650臺伺服器遭鎖定,多數位於美國,以及德國、英國等歐洲國家

9.未確認身分的駭客組織:此組駭客發動IIS後門攻擊行動
開始發動攻擊時間:2021年3月3日
攻擊目標:4臺郵件伺服器,位於亞洲與南美洲

10.Mikroceen(Vicious Panda)
開始發動攻擊時間:2021年3月4日
攻擊目標:一家位於亞洲中心的公營事業公司

11.DLTMiner
開始發動攻擊時間:2021年3月5日
攻擊目標:N/A


原文出處:https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/

#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://version-2.com.tw/?skip=1