安全企业ESET本周披露,已有十多个黑客组织正在开采微软于3月2日修补、统称为ProxyLogon的4个Exchange Server安全漏洞,而且自微软公布相关漏洞之后,ESET所侦测到的恶意Web Shell大幅增加。
台湾安全企业戴夫寇尔(DEVCORE)是在去年12月发现ProxyLogon中的CVE-2021-26855与CVE-2021-27065两个安全漏洞,并于今年1月5日通报微软,另一安全企业Volexity则说黑客自1月3日便开始攻击ProxyLogon漏洞。
然而,根据ESET的调查,在微软公布及修补ProxyLogon漏洞之前,就有多个黑客组织开采了相关漏洞,从1月3日的Hafnium,2月28日的Tick,3月1日的LuckyMouse、Calypso与Websiic,到3月2日的Winnti,而当微软公布及修补漏洞之后,又再出现了Tonto、ShadowPad、Opera、IIS、Mikroceen与DLTMiner,而上述除了DLTMiner是为了植入挖矿程序之外,其它所有组织都是属于锁定间谍行动的APT黑客组织。
黑客的攻击路径类似,在利用ProxyLogon漏洞进驻受黑者系统之后,会先植入恶意的Web Shell,再安装额外的恶意程序。于是,ESET密切观察全球Exchange Server上的恶意Web Shell,发现在微软发布及修补ProxyLogon漏洞之前,被嵌入恶意Web Shell的服务器不超过200台,但3月10日时,全球115个国家已有超过5,000台服务器含有恶意Web Shell。
研究人员表示,他们并不清楚这些攻击程序是如何传播的,特别是在微软修补漏洞之前,但相信会有包括勒索软件在内的更多黑客组织会试图开采ProxyLogon漏洞。至于微软则已于日前更新Windows安全工具Microsoft Safety Scanner(MSERT),以协助企业侦测Exchange Server中有无遭到黑客植入的Web Shell程序。