攻击者利用微软Exchange漏洞攻击全球酒店,持续三年

发表于:2021-9-26 09:08  作者:wzb123   来源:FreeBuf

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 漏洞 微软

  斯洛伐克互联网安全公司ESET发现黑客组织FamousSparrow自2019年以来,一直将目标对准世界各地的酒店,政府、国际组织、律师事务所和工程公司等知名目标。
  9月23日,据Bleeping Computer网站披露,该组织利用暴露在互联网应用中的多种攻击载体来入侵其目标网络,包括微软SharePoint中的远程代码执行漏洞Oracle Opera酒店管理软件以及被称为ProxyLogon的微软Exchange安全漏洞。
  黑客对世界各国政府在内的目标展开攻击,研究人员称FamousSparrow可能从事间谍活动。
  漏洞修补后,仍然存在
  ESET研究人员Matthieu Faou和Tahseen Bin Taj声称,在过去两年, FamousSparrow针对欧洲(法国、立陶宛、英国)、中东(以色列、沙特阿拉伯)、美洲(巴西、加拿大、危地马拉)、亚洲(中国台湾)和非洲(布基纳法索)等地展开持续攻击。
  黑客组织在攻破受害者的网络后,部署自定义工具。例如 Mimikatz 变体,除此之外还部署了仅供自己使用的后门(SparrowDoor)。
  ESET研究人员Bin Taj称,FamousSparrow不仅是SparrowDoor后门的唯一用户,还使用了两个自定义版本的 Mimikatz。这些定制的恶意工具表明,攻击事件与FamousSparrow有联系。
  根据其他安全公司的报告,1月3日左右,漏洞已经被利用,之后微软公司修复了漏洞。2021年3月,在微软修复漏洞一天后,间谍组织开始瞄准未针对ProxyLogon漏洞修补的 Microsoft Exchange 服务器。
  2021年3月,荷兰漏洞披露研究所 (DIVD) 扫描了全球大约25万台暴露于互联网上的Exchange 服务器后,发现4.6万台服务器未针对ProxyLogon漏洞进行修补。
  链接到其他 APT 组
  ESET还发现了一些与其他已知APT团体的链接,包括连接的恶意软件变体和配置。
  研究人员称,Famousparrow被认为是一个独立的实体,早在在2021年3月初获得了ProxyLogon远程代码执行漏洞,并且有利用SharePoint和Oracle Opera等服务器应用程序中已知漏洞的历史。很可能利用其进入被破坏的酒店系统进行间谍活动,包括跟踪特定的高知名度目标等。
  此次攻击事件再次提醒我们,迅速给面向互联网的应用程序打补丁是至关重要,如果不可能快速打补丁,就不把它们暴露在互联网上。

  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理

评 论

论坛新帖



建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海信义律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2021, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道