國際資安大廠ESET發現已有十多個駭客組織正在開採微軟於3月2日修補、統稱為ProxyLogon的4個Exchange Server安全漏洞,而且自微軟公布相關漏洞之後,ESET所偵測到的惡意Web Shell大幅增加。
根據ESET的調查,在微軟公布及修補ProxyLogon漏洞之前,就有多個駭客組織開採了相關漏洞,從1月3日的Hafnium,2月28日的Tick,3月1日的LuckyMouse、Calypso Websiic,到3月2日的Winnti,而當微軟公布及修補漏洞之後,又再出現了Tonto、ShadowPad 、Opera、IIS、Mikroceen DLTMiner,而上述除了DLTMiner是為了植入挖礦程式之外,其它所有組織都是屬於鎖定間諜行動的APT駭客組織。
駭客的攻擊路徑類似,在利用ProxyLogon漏洞進駐受駭者系統之後,會先植入惡意的Web Shell,再安裝額外的惡意程式。於是,ESET密切觀察全球Exchange Server上的惡意Web Shell,發現在微軟發布及修補ProxyLogon漏洞之前,被嵌入惡意Web Shell的伺服器不超過200臺,但3月10日時,全球115個國家已有超過5,000臺伺服器含有惡意Web Shell。
ESET研究人員表示,他們至少看到了超過10個APT駭客組織濫用相關漏洞,並針對特定目標發動攻擊,這些駭客組織包括LuckyMouse、Tick,以及Winnti Group等。而對於目前全球的受害情況如何,ESET也提出相關數據──他們對自家用戶進行遙測的結果發現,該公司在全球超過115個國家裡,偵測到至少5千個已遭植入網頁殼層(Web Shell)、疑似受害的Exchange伺服器。
根據ESET的數據顯示,他們約從2月28日就陸續偵測到有Exchange伺服器受害,但在微軟發布修補程式之後,遭到攻擊者濫用CVE-2021-26855漏洞攻擊的郵件伺服器數量,約於世界協調時間(UTC)3月3日零時開始大幅增加,到了4時凌晨,最多出現將近2千臺伺服器被植入網頁殼層。再者,ESET也看到,一些受害組織的Exchange伺服器上,遭到多組人馬鎖定。
以下是ESET揭露的駭客組織與攻擊行動:
1.Tick(Bronze Butler)
開始發動攻擊時間:2021年2月28日
攻擊目標:一家東亞IT服務業者
2.LuckyMouse(APT27、Emissary Panda)
開始發動攻擊時間:2021年3月1日
攻擊目標:一個中東政府實體
3.Calypso
開始發動攻擊時間:2021年3月1日
攻擊目標:中東與北美政府實體
4.Websiic
開始發動攻擊時間:2021年3月1日
攻擊目標:7臺郵件伺服器。這些伺服器所有者的身分,包含了亞洲的IT、電信,以及工程公司,以及一個東歐政府機關。
5.Winnti Group(Barium、APT41)
開始發動攻擊時間:2021年3月2日
攻擊目標:一家石油公司,以及一家建築設備公司
6.Tonto Team(CactusPete)
開始發動攻擊時間:2021年3月3日
攻擊目標:東歐的一家採購公司,以及一家軟體開發暨資安顧問公司
7.未確認身分的駭客組織:此組駭客濫用ShadowPad的攻擊行動
開始發動攻擊時間:2021年3月3日
攻擊目標:一家東亞軟體開發公司,以及一家中東的房仲公司
8.未確認身分的駭客組織:此組駭客發動“Opera”Cobalt Strike攻擊行動
開始發動攻擊時間:2021年3月3日
攻擊目標:截至3月5日約650臺伺服器遭鎖定,多數位於美國,以及德國、英國等歐洲國家
9.未確認身分的駭客組織:此組駭客發動IIS後門攻擊行動
開始發動攻擊時間:2021年3月3日
攻擊目標:4臺郵件伺服器,位於亞洲與南美洲
10.Mikroceen(Vicious Panda)
開始發動攻擊時間:2021年3月4日
攻擊目標:一家位於亞洲中心的公營事業公司
11.DLTMiner
開始發動攻擊時間:2021年3月5日
攻擊目標:N/A
原文出處:https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/
關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。
關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。