ESET：已有十多个骇客组织正在开采Exchange Server的ProxyLogon漏洞

资安业者ESET本周披露，已有十多个骇客组织正在开采微软于3月2日修补、统称为ProxyLogon的4个Exchange Server安全漏洞，而且自微软公布相关漏洞之后，ESET所侦测到的恶意Web Shell大幅增加。

台湾资安业者戴夫寇尔（DEVCORE）是在去年12月发现ProxyLogon中的CVE-2021-26855与CVE-2021-27065两个安全漏洞，并于今年1月5日通报微软，另一资安业者Volexity则说骇客自1月3日便开始攻击ProxyLogon漏洞，至于微软则直接点名该骇客组织为来自中国的Hafnium。

然而，根据ESET的调查，在微软公布及修补ProxyLogon漏洞之前，就有多个骇客组织开采了相关漏洞，从1月3日的Hafnium，2月28日的Tick，3月1日的LuckyMouse、Calypso与Websiic，到3月2日的Winnti，而当微软公布及修补漏洞之后，又再出现了Tonto、ShadowPad 、Opera、IIS、Mikroceen与DLTMiner，而上述除了DLTMiner是为了植入挖矿程式之外，其它所有组织都是属于锁定间谍行动的APT骇客组织。

骇客的攻击路径类似，在利用ProxyLogon漏洞进驻受骇者系统之后，会先植入恶意的Web Shell，再安装额外的恶意程式。于是，ESET密切观察全球Exchange Server上的恶意Web Shell，发现在微软发布及修补ProxyLogon漏洞之前，被嵌入恶意Web Shell的服务器不超过200台，但3月10日时，全球115个国家已有超过5,000台服务器含有恶意Web Shell。

研究人员表示，他们并不清楚这些攻击程式是如何散布的，特别是在微软修补漏洞之前，但相信会有包括勒索软件在内的更多骇客组织会试图开采ProxyLogon漏洞。至于微软则已于日前更新Windows安全工具Microsoft Safety Scanner（MSERT），以协助企业侦测Exchange Server中有无遭到骇客植入的Web Shell程式。