至少有10家APT黑客组织对微软Exchange服务器发起攻击

3 月 2 日，微软面向 Microsoft Exchange Server 2013, 2016 和 2019 紧急发布带外(Out of Band)安全更新，修复了一个预认证的远程代码执行（RCE）漏洞链（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065）。

黑客可以利用这些漏洞在不知道有效账户凭证的情况下接管任意可访问的 Exchange 服务器。截止发稿为止，目前有超过 5000 台右键服务器检测到了 webshells，超过 6 万个客户受到影响，而欧洲银行业管理局等多个重要机构遭到攻击。

该漏洞最早是由知名漏斗研究专家 Orange Tsai 发现的，他在 2021 年 1 月 5 日向微软报告了这些漏洞。不过根据外媒 Volexity 的报道，有迹象表明早在 1 月 3 日就有黑客利用该漏洞链发起了攻击。因此，如果这些日期是正确的，那么这些漏洞要么是由两个不同的漏洞研究团队独立发现的，要么就是这些漏洞的信息以某种方式被恶意团伙获得。

2021 年 2 月 28 日开始，不断有 Exchange 用户遭到网络攻击，首先是 Tick，然后 LuckyMouse、Calypso 和 Winnti 团伙也开始迅速发起攻击。这表明，多名黑客在补丁发布之前就获得了漏洞的细节，这意味着我们可以摒弃他们通过对微软更新进行逆向工程构建漏洞的可能性。

在补丁发布的第 2 天，黑客采取了更加疯狂的攻击，包括 Tonto Team 和 Mikroceen 等团队也对 Exchange 服务器发起攻击。有趣的是，所有这些都是对间谍活动感兴趣的高级持续威胁(APT)组织，除了一个例外（DLTMiner），它与一个已知的加密采矿活动有关。下图是攻击时间线概要。

在过去几天时间里，ESET 研究人员一直在密切关注这些漏洞的 webshell 检测数量。基于 ESET 的遥测数据，在补丁发布日有超过 115 个国家的 5000 多台 Exchange 服务器被标记为 webshell，而实际受感染的服务器数量肯定更多。图 2 展示了微软补丁前后的检测情况。

图 3 的热图显示了根据 ESET 遥测的 webshell 检测的地理分布情况。由于大规模的利用，它很可能代表了全球安装 ESET 安全产品的易受攻击的 Exchange 服务器的分布情况。

ESET 已经确定了超过 10 个不同的网络威胁者，他们很可能利用最近的 Microsoft Exchange RCE，以便在受害者的电子邮件服务器上安装植入物。

我们的分析是基于电子邮件服务器，我们在这些服务器上发现了离线地址簿（OAB）配置文件中的webshell，这是利用RCE漏洞的一种特殊技术，已经在42单元的一篇博客文章中详细介绍过。遗憾的是，我们不能排除一些威胁行为者可能劫持了其他组投放的webshells，而不是直接使用该漏洞。一旦漏洞被利用，webshell 被安装到位，我们观察到有人试图通过它安装更多的恶意软件。我们还注意到，在某些情况下，几个威胁行为者针对的是同一个组织。