美国国家安全局警告电子邮件服务器受到新的沙虫攻击

美国国家安全局(NSA)今天发布了安全警报，警告新一轮针对电子邮件服务器的网络攻击，这些攻击是由俄罗斯最先进的网络间谍单位之一实施的。

美国国家安全局表示，俄罗斯军事情报局下属的格拉斯哥特种技术主中心74455部队的成员一直在攻击运行进出口邮件传输代理的电子邮件服务器。

美国国家安全局在今天与ZDnet分享的一份安全警报中表示，自2019年8月以来，该组织一直在利用一个被追踪为CVE-2019-10149的关键漏洞，对进出口银行的服务器进行黑客攻击。

美国国家安全局表示，当沙虫攻击CVE2019-10149时，受害者机器随后会从沙虫控制的域下载并执行外壳脚本。

美国国家安全局现在警告私人和政府组织将他们的Exim服务器更新到4.93版，并寻找妥协的迹象。折衷指标可在美国国家安全局的PDF文档中找到，链接如上。

如何使用CVE-2019-10149判断您的Exim服务器是否属于RU？检查您的@Zeeksecurity#networksecurity监控日志。看看那个可爱的未加密的HTTP回调。Zeek可能有conn、HTTP、SMTP条目，也可能有文件。https://t.co/E9RAeyaY7T pic.twitter.com/otMLh9R0Z5。

-Richard Bejtlich(@taosecsecurity)2020年5月28日。

沙虫组织从本世纪头十年中期开始活跃，据信是2015年12月和2016年12月开发导致乌克兰停电的BlackEnergy恶意软件的黑客组织，以及开发臭名昭著的NotPetya勒索软件的组织，该软件给世界各地的公司造成了数十亿美元的损失。它目前被认为是与Turla一起被认为是俄罗斯国家支持的两个最先进的黑客组织之一。

CVE-2019-10149漏洞于2019年6月披露，代号为“巫师归来”。

在它被披露后的一周内，黑客组织开始滥用它。两周后，微软当时也发布了警报，警告Azure客户，一个威胁行为者开发了一种Exim自我传播蠕虫，该蠕虫利用这个漏洞接管在Azure基础设施上运行的服务器。

互联网上近一半的电子邮件服务器都运行Exim。根据2020年5月1日的统计数据，所有Exim服务器中只有一半更新到版本4.93或更高版本，这使得大量Exim实例面临攻击。

许多组织都专注于新的和闪亮的东西，比如云和移动。然而，他们忘记了，像SMTP这样的真正古老的服务在他们的个人和商业生活中占据了很大一部分，根据定义，这些服务都是暴露在互联网上的，网络安全公司Corelight的首席安全策略师理查德·贝特利希(Richard Bejtlich)告诉ZDNet。

当他们面对互联网时，他们是敌人的完美目标，他们处理最敏感的数据，人们把他们当作电器对待，这意味着只要他们继续工作，不被监视，他们就经常被遗忘。

但今天，美国国家安全局的安全咨询除了督促美国进出口银行管理员修补他们的服务器之外，还有另外两个目的。

它还意味着烧毁大量沙虫攻击性基础设施。在今天的警报之后，随着服务器管理员部署补丁并删除沙虫后门，沙虫操作员最有可能无法访问他们在过去9个月中一直在黑客攻击的许多服务器。

其次，该建议再次引起了全世界对俄罗斯网络间谍活动的关注。俄罗斯的许多操作经常越过现代网络情报收集可接受的界限，经常在现实世界中造成严重破坏(如NotPetya、BadRabbit、BlackEnergy、佐治亚州DDoS攻击、DNC黑客攻击等)。

至少从2018年末开始，美国和其他五只眼国家就已经将点名和羞辱俄罗斯网络攻击作为一项政策问题，从那以后，他们一直在继续，并将政策扩大到中国、伊朗和朝鲜的行动。