围绕交换服务器的0日攻击存在令人烦恼的谜团

研究人员在周三报告之前，允许黑客接管Microsoft Exchange服务器的Microsoft Exchange Server over攻击Microsoft Exchange服务器遭到攻击。这提出了一个烦恼的神秘：在安全缺陷被公开识别之前，这么多单独的威胁演员如何在攻击之前是如何工作的？

研究人员称，世界各地多达10万辆的邮件服务器受到损害，与欧洲银行权威和挪威议会在过去几天披露的那些。一旦攻击者获得了在服务器上执行代码的能力，他们就会安装Web shell，它是基于浏览器的窗口，它提供了一种用于远程发出命令和执行代码的手段。

当Microsoft在3月2日发出紧急补丁时，该公司表示漏洞被称为铪的国家支持的黑客集团有限和有针对性的袭击。周三，ESET提供了一个毫无疑问不同的评估。在10组ESET产品中录制了利用易受攻击的服务器，六个APTS-Short用于高级持久威胁演员 - 开始劫持服务器，而微软仍然是未知的关键漏洞。这不是一个所谓的零天脆弱性被两组齐声齐发出来，但它发生了。另一方面，六个APTS攻击零攻击是非常不寻常的，如果不是前所未有的话。

“我们正在进行的研究表明，铪不仅已经使用最近的RCE漏洞，而且多个APTS可以访问漏洞利用，并在补丁发布之前这样做，”ESET研究人员Matthieu Faou，Mathieu Tartare，以及Thomas Dupuy在星期三帖子中写道。 “仍然尚不清楚漏洞的分布发生，但不可避免地说，越来越多的威胁演员，包括赎金软件运营商，将稍后可以访问它。”

这个谜团是繁重的：在微软发出补丁的一天内，至少有三个APTS加入磨损。一天后，另一个人被添加到混合中。虽然这四组逆向设计了修复程序，但在规模中开发了武器化的利用，并将其部署，这些类型的活动通常需要时间。 24小时窗口在短边。

通过这么多不同的群体的大规模剥削没有明确的解释，除了推测之外，研究人员几乎没有替代品。

“似乎是湖泊最初使用的漏洞利用，他们在卡巴斯基实验室全球研究和分析团队的全球研究和分析团队总监”Costin Raiu“暂时与其他群体一起分享了与其他群体的利用。 ， 告诉我。 “这可能表明这些群体之间的一定程度的合作，或者它也可能表明利用在某些市场上销售，他们遭受修补的潜力导致了一滴的价格，允许其他人也可以获得它。”

保安公司Sentinelone的主要威胁研究员Juan Andres Guantres Guantres Guerrero-Saade抵达同一评估。

“来自同一地区的六组的想法将独立地发现相同的漏洞链，发展相同的利用是不太可能的，”他在直接留言中写道。 “更简单的解释是，＆＃39; s（a）普通剥削卖家（b）可用于所有这些的未知来源（如论坛），或（c）组织这些不同的黑客组织的常见实体并为他们提供了缓解他们的活动（例如，中国安全部）。“

铪：微软称的集团是国家赞助和在中国，在1月初利用脆弱性。

勾选（又称青铜管家和redbaldknight）：2月28日，Microsoft发出的补丁前两天，该组使用漏洞来危及东亚IT服务公司的Web服务器。蜱自2018年以来一直活跃，目标组织主要在日本，也在韩国，俄罗斯和新加坡。

Luckymouse（APT27和Exfissary Panda）：3月1日，这个纽约州纽约州纽约州的集团已知在中亚和中东地区破坏了中东地区的电子邮件服务器。

Calypso（带有XPath的关系）：3月1日，该集团损失了中东和南美洲政府实体的电子邮件服务器。在下一天，它继续到非洲，亚洲和欧洲的目标组织。 Calypso针对这些地区的政府组织。

Websiic：3月1日，这款ASET从未见过以前从未见过，这些邮件服务器属于IT，电信和工程领域的七家亚洲公司和东欧的一家政府机构。

Winnti（AKA APT 41和Barium）：Microsoft在3月2日发布的紧急补丁前几个小时，ESET数据显示该组织损失了石油公司和建筑设备公司的电子邮件服务器，既基于东亚。

ESET表示，它看到了四个在Microsoft＆＃39; 3月2日释放补丁后立即利用漏洞的漏洞2.两个未知组在后一天开始。另外两组被称为Tonto和Mikoceen，分别于3月3日和3月4日开始。

安全公司Domaintools的高级安全研究员Joe Slowik在周三发表了自己的分析，并指出，三个APTS ESET看到利用Patches-Tick，Calypso和Winnti之前的漏洞 - 以前与由此赞助的黑客联系起来中华人民共和国。研究人员说，另外两个APTS ESES SAW在Patches-Tonto和Mikroceen-an-Sys的关系后一天利用漏洞。

时间表包括三个剥削集群，即安全公司Fireeye已表示自1月以来正在利用交易所漏洞。 Fireeeye将组称为UNC2639，UNC2640和UNC2643，并没有将群集绑定到任何已知的APTS或者在所在的位置绑定。

因为不同的安全公司使用不同的名称对于同一威胁演员，它＆＃39;＆＃39;＆＃39是否不明确，如果FireeEyee与ESET看到的那些识别的组。如果它们是截然不同的，则在修补程序之前利用交换漏洞的威胁演员的数量将更高。

APTS的跟踪作为FBI和网络安全和基础设施安全机构在周三发布了一项咨询，所述威胁团体正在利用各行业中的地方政府，学术机构，非政府组织和商业实体在内的组织，包括农业，生物技术，航空航天，国防，法律服务，电力公用事业和制药。

“这种定位与中国网络演员的先前定位活动一致，”咨询说。随着安全公司Palo Alto网络周二报道，估计全球125,000名交换服务器是脆弱的，CISA和FBI官员呼吁组织补丁采取额外的紧迫措施。

ESET和Security Fird Red Canare都看到了被剥削的Exchange服务器被Dltminer感染，这是一种恶意软件，允许攻击者使用受感染机器的计算能力和电力挖掘加密。然而，ESET表示，如果这些感染背后的演员实际上利用漏洞或只是乘坐被别人被砍塞的服务器，那就尚不清楚。

对于来自与中国政府的团体来说，许多预补丁漏洞来自派对的群体，来自Sentinalone的Guerrero-Saade的假设 - 即中国实体提供了在修补程序之前的多个黑客组的利用 - 似乎是最简单的解释。这一理论是由另外两个与中国相关的群体 - Tonto和Mikococe中的第一个与Microsoft在Microsoft紧急发布后漏洞中的漏洞之间提供的。

当然，它可能有可能在零天仍然独立地发现漏洞和开发武器化的利用时，它有可能利用漏洞。如果是这种情况，那可能是第一个，希望是最后一个。