过度成熟者 -

围绕着Exchange服务器的0天攻击有一个令人烦恼的谜团

6个团体利用同样的0天时间是不寻常的,如果不是史无前例的话。

“零日”这个短语出现在充斥着“1”和“0”的单色电脑屏幕上。

研究人员在周三报告之前,允许黑客接管Microsoft Exchange服务器的Microsoft Exchange Server over攻击Microsoft Exchange服务器遭到攻击。这提出了一个烦恼问题:在安全缺陷被公开认识之前,这么多单独的威胁行动者有这么多单独的威胁行动者是如何工作的?

研究人员称,世界各地多达10万辆的邮件服务器受到损害,那些人欧洲银行权威挪威议会在过去几天透露。一旦攻击者获得了在服务器上执行代码的能力,他们就会安装Web shell,它是基于浏览器的窗口,它提供了一种用于远程发出命令和执行代码的手段。

当Microsoft在3月2日发出紧急补丁时,该公司表示漏洞被称为铪的国家支持的黑客集团有限和有针对性的袭击。周三,ESET提供了一个毫无疑问不同的评估。在10组ESET产品中录制了利用易受攻击的服务器,六个APTS-Short用于高级持久威胁演员 - 开始劫持服务器,而微软仍然是未知的关键漏洞。

两个小组共同利用所谓的零日漏洞并不常见,但确实如此。另一方面,零日同时受到六个apt的攻击,即使不是前所未有,也是极不寻常的。

“我们正在进行的研究表明,铪不仅已经使用最近的RCE漏洞,而且多个APTS可以访问漏洞利用,并在补丁发布之前这样做,”ESET研究人员Matthieu Faou,Mathieu Tartare,以及托马斯杜普写在一个星期三邮政。“仍然尚不清楚漏洞的分布发生,但不可避免地说,越来越多的威胁演员,包括赎金软件运营商,将稍后可以访问它。”

ESET

超越不太可能

这个谜团是繁重的:在微软发出补丁的一天内,至少有三个APTS加入磨损。一天后,另一个人被添加到混合中。虽然这四个组可能反向设计了修复程序,武装化的漏洞,并以规模部署,这些类型通常需要时间。24小时窗口在短边。

通过这么多不同的群体的大规模剥削没有明确的解释,除了推测之外,研究人员几乎没有替代品。

“似乎是湖泊最初使用的漏洞利用,一些东西让他们在围绕相关漏洞修补的时候与其他群体一起分享漏洞利用,”卡巴斯基实验室全球研究和分析团队总监Costin Raiu Costin Raiu。, 告诉我。“这可能表明这些群体之间的一定程度的合作,或者它也可能表明利用在某些市场上销售,他们遭受修补的潜力导致了一滴的价格,允许其他人也可以获得它。”

保安公司Sentinelone的主要威胁研究员Juan Andres Guantres Guantres Guerrero-Saade抵达同一评估。

“来自同一地区的六组的想法将独立地发现相同的漏洞链,发展相同的利用是不太可能的,”他在直接留言中写道。“更简单的解释是,(a)普通的漏洞卖家(b)所有这些未知的来源(如论坛),或(c)组织这些不同的黑客组的常见实体并提供它们利用他们的活动(例如,中国的国家安全部)。“

命名名称

六组ESET确定在零天仍然利用漏洞是:

  • 铪:截至1月初,该组织已开始利用这些漏洞。微软表示,该组织受到国家支持,总部位于中国。
  • 蜱虫(也称为青铜管家和红秃头骑士):2月28日,Microsoft发布补丁前两天,该组使用漏洞来危及东亚IT服务公司的Web服务器。蜱自2018年以来一直活跃,目标组织主要在日本,也在韩国,俄罗斯和新加坡。
  • Luckymouse(APT27和Emissary Panda):3月1日,这个众所周知的这个网络 - 间谍集团在中亚和中东地区破坏了中东地区的电子邮件服务器,这是违反了多个政府网络。
  • Calypso(带有领带XPath.):3月1日,该集团损失了中东和南美洲政府实体的电子邮件服务器。在下一天,它继续到非洲,亚洲和欧洲的目标组织。Calypso针对这些地区的政府组织。
  • Websiic:3月1日,这款APT,ESET从未见过以前从未见过,有针对性的邮件服务器属于IT,电信和工程领域的七家亚洲公司和东欧的一个政府机构。
  • Winnti(AKA APT 41和Barium):Microsoft在3月2日发布了紧急补丁之前几个小时,ESET数据显示该集团损害了石油公司和建筑设备公司的电子邮件服务器,既基于东亚。

ESET表示,它看到了四个在Microsoft在3月2日遵循Patch后立即利用漏洞的群体2.两个未知的团队在后一天开始。另外两组被称为Tonto和Mikoceen,分别于3月3日和3月4日开始。

中国及其超越

乔·琵琶,安全公司中的高级安全研究员,发表了他的自身分析他还指出,ESET发现的三个apt先于补丁利用这些漏洞——tick、Calypso和winti——此前都被认为与中国支持的黑客活动有关。研究人员说,ESET发现的另外两个在补丁发布一天后利用漏洞的apt——tonto和mikrocen——也与中国有关。

Slowik制作了以下时间表:

多样性

时间轴包括三个剥削集群,即安全公司Fireeye自1月以来正在利用交换漏洞。Fireeeye将组称为UNC2639,UNC2640和UNC2643,并没有将群集绑定到任何已知的APTS或者在所在的位置绑定。

由于不同的安全公司对同一威胁演员使用不同的名称,因此如果由FireeEye与ESET看到的那些重叠的组,则尚不清楚。如果它们是截然不同的,则在修补程序之前利用交换漏洞的威胁演员的数量将更高。

围攻下的一系列组织

APTS的跟踪作为FBI和网络安全和基础设施安全机构发布了一个咨询周三表示,该威胁团体正在利用各种行业的地方政府,学术机构,非政府组织和商业实体的组织,包括农业,生物技术,航空航天,国防,法律服务,电力公用事业和制药。

“这种定位与中国网络演员的先前定位活动一致,”咨询说。与安全公司Palo Alto Networks报告周二,全球估计的125,000名交换服务器是脆弱的,CISA和FBI官员呼吁组织接受额外的紧迫措施。

ESET和Security Fird Red Canare都看到了被剥削的Exchange服务器被Dltminer感染,这是一种恶意软件,允许攻击者使用受感染机器的计算能力和电力挖掘加密。然而,ESET表示,如果这些感染背后的演员实际利用了漏洞,或者只是乘坐被别人被砍塞的服务器,那就不清楚。

对于来自与中国政府的团体来说,许多预补丁漏洞来自派对的群体,来自Sentinalone的Guerrero-Saade的假设 - 即中国实体提供了在修补程序之前的多个黑客组的利用 - 似乎是最简单的解释。这一理论是由另外两个与中国相关的群体 - Tonto和Mikococe中的第一个与Microsoft在Microsoft紧急发布后漏洞中的漏洞之间提供的。

当然,它可能有可能在零天仍然独立地发现漏洞和开发武器化的利用时,它有可能利用漏洞。如果是这种情况,那可能是第一个,希望是最后一个。

你必须评论。

渠道ARS Technica.