巨大的:MS Exchange错误首次在1月份开发
警告:AWS IAM的行为与目录服务不同
贷款费用小组MPS需求IR35 Shapl-Up以阻止承包商成为“零权利员工”
HMRC批评贷款收费政策响应的持续的“缺点”
微软与英国启动团队启动,以尽量减少航空业对气候变化的影响
Ovhcloud在Strasbourg Datacentre Campus射击之后没有伤亡
加拿大的罗杰斯和Shaw宣布了260亿美元的合并
CW创新奖:JIO平台轻拍机器学习管理电信网络
四个英国企业中有四个寻求新的安全供应商
北欧国家推出联合无人发展倡议
Mod报告数据丢失事件的增加18%
阿姆斯特丹应用科学大学结合了AI和练习
在凭据填充攻击后,npower关闭了应用程序
使用数字单位来盯着下一步服务
英国数字监管机构阐述了加强合作的计划
前部长们用迈克林奇引渡说出来
法官拒绝加密被告对最高法院的上诉
埃及,意大利和美国在Facebook泄漏中受到最受影响的影响
金融服务的IBM Cloud继续普通版本
C40,C60 R3,Go!纯添加到FlashArray // C QLC闪存范围
赫尔辛基市采用MyData原则来改善数字服务
Google Chrome更新修补严重的零天
只有12%的全球企业完全拥抱Sase
Amdocs加入开放网络基础
Windows 10,Server 2019用户必须修补严重的零天
赫特福德大学是最新的学术网络攻击受害者
PageRduty在AWS的帮助下扩展欧洲数据中心存在
学徒人员可能是网络技能短缺的解决方案
私人LTE / 5G市场在2024年达到4.2亿英镑
Hellokitty几乎肯定在CD Projekt赎金软件攻击后面
数据保护法中的移民豁免面临进一步的法律挑战
微软被控扼杀了二手软件市场
在政府发布的学校笔记本电脑上发现的Gamarue Malware
英国的arkivum为4.8亿欧元欧盟科学数据档案项目
ALTNET协会警告对英国全纤维推出的威胁
在瓶子里裂开消息
O2和NEC索赔开放式审判成功
eniag anniagerary:75年的计算机技术已经交付
科技工人为中心的伞形公司推出以IR35将其瞄准承包商'流离失所者'
威廉姆斯F1汽车发射被数据泄漏中断
由于政府宣布增加支持,英国金融科技投资击中了新的高度
BT删除BBC BETESIZE教育内容的移动数据费用
英国政府设定提供金融气签证
Hyperoptic为家庭教育提供免费宽带包装
Cinia削减了传输网络升级的丝带交易
AWS和Telstra团队在5克
超过三分之二的公司将投资专用的遥控连接
EE 5G提供BBC绿色星球增强现实体验
EE在2021年在500多个英国地区扩展移动覆盖范围
Palo Alto Networks打开澳大利亚云位置
您的位置:首页 >论坛 > 研究报告 >

巨大的:MS Exchange错误首次在1月份开发

2021-09-18 11:44:21 [来源]:

根据Fireeye Mandiant研究人员Matt Bromiley,Chris Digiamo,Andrew Thompson和Robert Wallace产生的一份新报告,恶意演员在Microsoft Exchange Server的内部内部实例上滥用四个漏洞。

本周早些时候披露了一个序列的序列,利用四个漏洞,一个评分的关键和三个媒体,被微软联系在于中国高级持久威胁(APT)群体称为铪,尽管已经有了丰富的证据建议对CVES的开发远远超过一组。

在Mandiant的报告中,研究人员表示,在至少一个客户环境中观察到多个滥用实例,观察到的活动包括创建Web Shell,以获得持久访问,远程代码执行(RCE)以及来自FireeEye的端点安全解决方案的侦察,炭黑和人群。

“Microsoft报告的活动与我们的观察结果对齐.Fireeye目前在三个集群中,UNC2639,UNC2640和UNC2643追踪此活动,”披露博客中的Bromiley,Digiamo,Thompson和Wallace表示。

“我们预期额外的群集,因为我们回复入侵。我们建议紧跟微软的指导和修补交换服务器来缓解此活动。”

与另外的研究人员一样跟踪剥削,团队表示,受害者的数量可能比微软所说的要高得多 - 它将它们描述为有针对性的和有限的人,但这现在发生了很大的争议。

“基于我们的遥测,我们已经确定了一系列受影响的受害者,包括美国零售商,地方政府,大学和工程公司。他们说,相关活动还可包括东南亚政府和中亚电信。“

该团队证实了微软对多次开发后活动的评估,包括凭据盗窃,压缩exfiltration的数据,使用Exchange PowerShell Snap-Ins窃取邮箱数据,以及使用其他令人反感的网络工具,如尾声,Nishang和PowerCAT等驻罗使用权。

“我们观察到的活动与信息安全行业中的其他活动表明,这些威胁演员可能使用Exchange Server漏洞来获得立足点进入环境。通过额外的访问和持久机制快速跟随此活动。我们有多个持续的案例,并将继续提供洞察力,因为我们回应入侵,“他们说。

与此同时,在铪的唤醒中观察到更多群体,其中许多人利用中国斩波器网壳,一个后门,允许恶意演员获得受损制度的遥控控制,并进行进一步的开发后开采活动。值得注意的是,中国斩波器包含一个GUI界面,允许用户管理和控制Web shell攻击命令。

根据Cynet的Max Malyutin,那些使用它包括利维坦,与APT40密切相关;威胁组-3390,又名熊猫,青铜联盟或铁虎;软细胞(不是Synth-Pop Duo);和apt41。所有这些群体都被认为有一些与中国的活动的关联。

gurucul首席执行官Saryu Nayyar表示,持续的攻击是一个提醒人们,尽管使用云服务的平流层的增长,内部设备仍然脆弱,但也很容易被忽视。

“在过去的几年里,通过迁移到Microsoft Office 365的组织,它很容易忘记现场交换服务器仍在使用。一些组织,特别是政府,可以通过政策或规则将他们的申请迁移到云端,这意味着我们将看到一段时间的内部服务器来,“Nayyar说。

“这是另一个案例,显示跟上安全补丁的程度如何,并确保组织的安全堆栈是达到识别新颖攻击并快速修复它们的任务,”她补充道。

下一步

Microsoft Exchange Server攻击:我们到目前为止所知道的

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。