攻击者违反21,000个Microsoft Exchange服务器,安装恶意软件暗示Brian Krebs

2021-03-29 04:20:19

新数据表明某人已损害全球超过21,000个Microsoft Exchange服务器电子邮件系统,并使用恶意软件感染它们,以通过名称来调用Kre Usecurity和您的名称。

让我们现在脱离这一点:这不是我。

ShadowServer Foundation是一个帮助网络所有者识别和修复安全威胁的非营利组织,说它发现了21,248个不同的Exchange服务器,这些服务器似乎受到后门和Brian [。] krebsonsecurity [。]顶部(不是安全领域)的呼气攻击因此蹒跚而已。

ShadowServer在攻击漏洞的攻击之后一直在跟踪波,以交换Microsoft本月早些时候在紧急补丁释放中解决。该集团使用活动互联网扫描和“蜜罐”组合寻找对交换系统的攻击 - 系统易受攻击的系统,以便辩护者可以研究攻击者对设备的作用以及如何。

David Watson是一个长期成员和Shadowserver基金会欧洲的总监,他的团队表示,他的团队一直在对数百个独特的背面的独特(AKA“Web Shells”)密切关注全球各种网络犯罪团体一直在使用任何未被包邮的交换服务器。这些后面为攻击者提供攻击者,远程控制Exchange Server(包括任何服务器的电子邮件)。

在36日,ShadowServer看到了尝试在受损的Exchange Server中安装新类型的后门,并且每个黑客主机它安装了在同一个地方的后门:“/ owa/auth/babydraco.aspx。”

“掉落的网壳道路对我们来说是新的,”沃森说。 “我们一直通过扫描Exchange服务器测试367个已知的Web Shell路径。”

OWA是指Outlook Web Access,上部署交换服务器的Web为部分。 Shadowserver的蜜孔看到多个主机与Babydraco Backdoor一起做同样的事情:运行Microsoft PowerShell脚本,从Internet地址加入“krebsonsecurity.exe”文件159.65.136 [。] 128。奇怪的是,在virustotal.com上扫描文件的几十个防病毒工具中都不是目前将其检测为恶意。

krebsonsecurity文件还安装根证书,修改系统注册表,并告诉Windows Defender不会扫描该文件。 Watson表示,KRESONSONESECURY文件将尝试在Exchange服务器和上述IP地址之间打开加密连接,并每分钟向其发送少量流量。

ShadowServer发现了21,000多个Exchange Server系统,其中安装了Babydraco Backdoor。但是Watson表示,他们不知道这些系统中有多少也从Rogue Kre Usecurity域中运行次要下载。

“尽管存在滥用,但这可能是突出脆弱/受损的MS Exchange服务器现在在狂野中被剥削的良好机会,并希望有助于将消息留给受害者,他们需要注册我们的免费日常网络报告, “沃森说。

全球有数十万个Exchange Server系统,易受攻击(Microsoft建议这个数字约为40万),而且大多数在过去几周内都已修补。但是,仍有成千上万的弱势交换服务器在线公开。 3月25日,ShadowServer推文横跨13,803 IP地址跟踪73,927个唯一的活动WebShell路径。

Exchange Server用户尚未修补此月早些时候修复的四个缺陷Microsoft,可以通过部署Microsoft的“一下房地性缓解工具”来立即保护。

克莱比度点顶域背后的网络犯罪分子的动机尚不清楚,但域本身最近与其他网络犯罪活动相关 - 以及骚扰这位作者。我第一次在2020年12月听到域名,当一个读者告诉我他的整个网络如何被一个被称为它的收集僵尸网络劫持的整个网络。

“今天早上,我注意到了一个风扇在我的主页中的服务器上发出过多的噪音,”读者说。 “当时我没有想到大部分时间,但经过彻底的清洁和测试,它仍然是嘈杂的。 在我完成一些与工作相关的事情之后,我检查了它 - 发现加密术语已被丢弃在我的盒子上,指向xxx-xx-xxx.krebsonsecurity.top'。 总而言之,这已经感染了我网络上的所有三个Linux盒子。“ 我X'd的子域是什么? 只是我的社会安全号码。 我会通过DNS被DNS被DNS。 这几乎不是第一次恶意软件或Malcontents滥用我的名字,肖像和网站商标作为网络犯罪模因,骚扰,或者只是为了让我的声誉。 以下是一些更值得注意的例子,尽管所有这些事件都几乎十年了。 今天的名单将是页面长。