巨大的:MS Exchange错误首次在1月份开发
根据Fireeye Mandiant研究人员Matt Bromiley,Chris Digiamo,Andrew Thompson和Robert Wallace产生的一份新报告,恶意演员在Microsoft Exchange Server的内部内部实例上滥用四个漏洞。
本周早些时候披露了一个序列的序列,利用四个漏洞,一个评分的关键和三个媒体,被微软联系在于中国高级持久威胁(APT)群体称为铪,尽管已经有了丰富的证据建议对CVES的开发远远超过一组。
在Mandiant的报告中,研究人员表示,在至少一个客户环境中观察到多个滥用实例,观察到的活动包括创建Web Shell,以获得持久访问,远程代码执行(RCE)以及来自FireeEye的端点安全解决方案的侦察,炭黑和人群。
“Microsoft报告的活动与我们的观察结果对齐.Fireeye目前在三个集群中,UNC2639,UNC2640和UNC2643追踪此活动,”披露博客中的Bromiley,Digiamo,Thompson和Wallace表示。
“我们预期额外的群集,因为我们回复入侵。我们建议紧跟微软的指导和修补交换服务器来缓解此活动。”
与另外的研究人员一样跟踪剥削,团队表示,受害者的数量可能比微软所说的要高得多 - 它将它们描述为有针对性的和有限的人,但这现在发生了很大的争议。
“基于我们的遥测,我们已经确定了一系列受影响的受害者,包括美国零售商,地方政府,大学和工程公司。他们说,相关活动还可包括东南亚政府和中亚电信。“
该团队证实了微软对多次开发后活动的评估,包括凭据盗窃,压缩exfiltration的数据,使用Exchange PowerShell Snap-Ins窃取邮箱数据,以及使用其他令人反感的网络工具,如尾声,Nishang和PowerCAT等驻罗使用权。
“我们观察到的活动与信息安全行业中的其他活动表明,这些威胁演员可能使用Exchange Server漏洞来获得立足点进入环境。通过额外的访问和持久机制快速跟随此活动。我们有多个持续的案例,并将继续提供洞察力,因为我们回应入侵,“他们说。
与此同时,在铪的唤醒中观察到更多群体,其中许多人利用中国斩波器网壳,一个后门,允许恶意演员获得受损制度的遥控控制,并进行进一步的开发后开采活动。值得注意的是,中国斩波器包含一个GUI界面,允许用户管理和控制Web shell攻击命令。
根据Cynet的Max Malyutin,那些使用它包括利维坦,与APT40密切相关;威胁组-3390,又名熊猫,青铜联盟或铁虎;软细胞(不是Synth-Pop Duo);和apt41。所有这些群体都被认为有一些与中国的活动的关联。
gurucul首席执行官Saryu Nayyar表示,持续的攻击是一个提醒人们,尽管使用云服务的平流层的增长,内部设备仍然脆弱,但也很容易被忽视。
“在过去的几年里,通过迁移到Microsoft Office 365的组织,它很容易忘记现场交换服务器仍在使用。一些组织,特别是政府,可以通过政策或规则将他们的申请迁移到云端,这意味着我们将看到一段时间的内部服务器来,“Nayyar说。
“这是另一个案例,显示跟上安全补丁的程度如何,并确保组织的安全堆栈是达到识别新颖攻击并快速修复它们的任务,”她补充道。
下一步
Microsoft Exchange Server攻击:我们到目前为止所知道的