巨大的：MS Exchange错误首次在1月份开发

根据Fireeye Mandiant研究人员Matt Bromiley，Chris Digiamo，Andrew Thompson和Robert Wallace产生的一份新报告，恶意演员在Microsoft Exchange Server的内部内部实例上滥用四个漏洞。

本周早些时候披露了一个序列的序列，利用四个漏洞，一个评分的关键和三个媒体，被微软联系在于中国高级持久威胁（APT）群体称为铪，尽管已经有了丰富的证据建议对CVES的开发远远超过一组。

在Mandiant的报告中，研究人员表示，在至少一个客户环境中观察到多个滥用实例，观察到的活动包括创建Web Shell，以获得持久访问，远程代码执行（RCE）以及来自FireeEye的端点安全解决方案的侦察，炭黑和人群。

“Microsoft报告的活动与我们的观察结果对齐.Fireeye目前在三个集群中，UNC2639，UNC2640和UNC2643追踪此活动，”披露博客中的Bromiley，Digiamo，Thompson和Wallace表示。

“我们预期额外的群集，因为我们回复入侵。我们建议紧跟微软的指导和修补交换服务器来缓解此活动。”

与另外的研究人员一样跟踪剥削，团队表示，受害者的数量可能比微软所说的要高得多 - 它将它们描述为有针对性的和有限的人，但这现在发生了很大的争议。

“基于我们的遥测，我们已经确定了一系列受影响的受害者，包括美国零售商，地方政府，大学和工程公司。他们说，相关活动还可包括东南亚政府和中亚电信。“

该团队证实了微软对多次开发后活动的评估，包括凭据盗窃，压缩exfiltration的数据，使用Exchange PowerShell Snap-Ins窃取邮箱数据，以及使用其他令人反感的网络工具，如尾声，Nishang和PowerCAT等驻罗使用权。

“我们观察到的活动与信息安全行业中的其他活动表明，这些威胁演员可能使用Exchange Server漏洞来获得立足点进入环境。通过额外的访问和持久机制快速跟随此活动。我们有多个持续的案例，并将继续提供洞察力，因为我们回应入侵，“他们说。

与此同时，在铪的唤醒中观察到更多群体，其中许多人利用中国斩波器网壳，一个后门，允许恶意演员获得受损制度的遥控控制，并进行进一步的开发后开采活动。值得注意的是，中国斩波器包含一个GUI界面，允许用户管理和控制Web shell攻击命令。

根据Cynet的Max Malyutin，那些使用它包括利维坦，与APT40密切相关;威胁组-3390，又名熊猫，青铜联盟或铁虎;软细胞（不是Synth-Pop Duo）;和apt41。所有这些群体都被认为有一些与中国的活动的关联。

gurucul首席执行官Saryu Nayyar表示，持续的攻击是一个提醒人们，尽管使用云服务的平流层的增长，内部设备仍然脆弱，但也很容易被忽视。

“在过去的几年里，通过迁移到Microsoft Office 365的组织，它很容易忘记现场交换服务器仍在使用。一些组织，特别是政府，可以通过政策或规则将他们的申请迁移到云端，这意味着我们将看到一段时间的内部服务器来，“Nayyar说。

“这是另一个案例，显示跟上安全补丁的程度如何，并确保组织的安全堆栈是达到识别新颖攻击并快速修复它们的任务，”她补充道。

下一步

Microsoft Exchange Server攻击：我们到目前为止所知道的