伊莉討論區

標題: 濫用Exchange重大漏洞的駭客不只一組！ESET發現超過10組APT駭客加入行列 [打印本頁]

作者: 飛行人3 時間: 2021-3-16 10:46 PM 標題: 濫用Exchange重大漏洞的駭客不只一組！ESET發現超過10組APT駭客加入行列

微軟於本月初提前修補的Exchange的重大漏洞，原因是已有駭客用來發動攻擊，但這些漏洞被濫用的情況究竟有多嚴重？ESET指出，他們至少發現超過10個駭客組織出手，攻擊全球各地的Exchange郵件伺服器

微軟於3月初修補的Exchange重大漏洞，並警告中國駭客組織Hafnium已經用於發動攻擊，但受害情況似乎還有持續擴大的趨勢！不只有資安研究人員揭露災情，也開始有組織公告Exchange伺服器遭到攻擊，波及他們的郵件服務。

但這些漏洞難道只有Hafnium拿來發動攻擊嗎？微軟在3月5日更新公告，指出有越來越多駭客組織鎖定尚未修補的Exchange伺服器下手，最近ESET揭露的研究結果證實了這種說法。ESET研究人員表示，他們至少看到了超過10個APT駭客組織濫用相關漏洞，並針對特定目標發動攻擊，這些駭客組織包括LuckyMouse、Tick，以及Winnti Group等。而對於目前全球的受害情況如何，ESET也提出相關數據──他們對自家用戶進行遙測的結果發現，該公司在全球超過115個國家裡，偵測到至少5千個已遭植入網頁殼層（Web Shell）、疑似受害的Exchange伺服器。

根據ESET提供的數據顯示，他們約從2月28日就陸續偵測到有Exchange伺服器受害，但在微軟發布修補程式之後，遭到攻擊者濫用CVE-2021-26855漏洞攻擊的郵件伺服器數量，約於世界協調時間（UTC）3月3日零時開始大幅增加，到了4時凌晨，最多出現將近2千臺伺服器被植入網頁殼層。再者，ESET也看到，一些受害組織的Exchange伺服器上，遭到多組人馬鎖定。
從ESET公布這些ATP組織開始濫用相關漏洞的時間點，我們可以看到大多集中在微軟發布修補程式的前後，有些駭客是在公布後的3天內發動攻擊。但日後是否還有其他打算發動相關攻擊的駭客出手？值得後續觀察。

以下是ESET揭露的駭客組織與攻擊行動：
1.Tick（Bronze Butler）開始發動攻擊時間：2021年2月28日
攻擊目標：一家東亞IT服務業者
2.LuckyMouse（APT27、Emissary Panda）開始發動攻擊時間：2021年3月1日
攻擊目標：一個中東政府實體
3.Calypso開始發動攻擊時間：2021年3月1日
攻擊目標：中東與北美政府實體
4.Websiic開始發動攻擊時間：2021年3月1日
攻擊目標：7臺郵件伺服器。這些伺服器所有者的身分，包含了亞洲的IT、電信，以及工程公司，以及一個東歐政府機關。
5.Winnti Group（Barium、APT41）開始發動攻擊時間：2021年3月2日
攻擊目標：一家石油公司，以及一家建築設備公司
6.Tonto Team（CactusPete）開始發動攻擊時間：2021年3月3日
攻擊目標：東歐的一家採購公司，以及一家軟體開發暨資安顧問公司
7.未確認身分的駭客組織：此組駭客濫用ShadowPad的攻擊行動開始發動攻擊時間：2021年3月3日
攻擊目標：一家東亞軟體開發公司，以及一家中東的房仲公司
8.未確認身分的駭客組織：此組駭客發動“Opera”Cobalt Strike攻擊行動開始發動攻擊時間：2021年3月3日
攻擊目標：截至3月5日約650臺伺服器遭鎖定，多數位於美國，以及德國、英國等歐洲國家
9.未確認身分的駭客組織：此組駭客發動IIS後門攻擊行動開始發動攻擊時間：2021年3月3日
攻擊目標：4臺郵件伺服器，位於亞洲與南美洲
10.Mikroceen（Vicious Panda）開始發動攻擊時間：2021年3月4日
攻擊目標：一家位於亞洲中心的公營事業公司
11.DLTMiner開始發動攻擊時間：2021年3月5日
攻擊目標：N/A

作者: rich66666 時間: 2021-3-18 07:55 AM

災情慘重，沒補洞的一定會被駭

歡迎光臨伊莉討論區 (http://www905.eyny.com/)