滥用Exchange重大漏洞的骇客不只一组！ESET发现超过10组APT骇客加入行列

微软于3月初修补的Exchange重大漏洞，并警告中国骇客组织Hafnium已经用于发动攻击，但受害情况似乎还有持续扩大的趋势！不只有资安研究人员揭露灾情，也开始有组织公告Exchange服务器遭到攻击，波及他们的邮件服务。

但这些漏洞难道只有Hafnium拿来发动攻击吗？微软在3月5日更新公告，指出有越来越多骇客组织锁定尚未修补的Exchange服务器下手，最近ESET揭露的研究结果证实了这种说法。ESET研究人员表示，他们至少看到了超过10个APT骇客组织滥用相关漏洞，并针对特定目标发动攻击，这些骇客组织包括LuckyMouse、Tick，以及Winnti Group等。而对于目前全球的受害情况如何，ESET也提出相关数据──他们对自家用户进行遥测的结果发现，该公司在全球超过115个国家里，侦测到至少5千个已遭植入网页壳层（Web Shell）、疑似受害的Exchange服务器。

根据ESET提供的数据显示，他们约从2月28日就陆续侦测到有Exchange服务器受害，但在微软发布修补程式之后，遭到攻击者滥用CVE-2021-26855漏洞攻击的邮件服务器数量，约于世界协调时间（UTC）3月3日零时开始大幅增加，到了4时凌晨，最多出现将近2千台服务器被植入网页壳层。再者，ESET也看到，一些受害组织的Exchange服务器上，遭到多组人马锁定。

从ESET公布这些ATP组织开始滥用相关漏洞的时间点，我们可以看到大多集中在微软发布修补程式的前后，有些骇客是在公布后的3天内发动攻击。但日后是否还有其他打算发动相关攻击的骇客出手？值得后续观察。

以下是ESET揭露的骇客组织与攻击行动：

1.Tick（Bronze Butler）

开始发动攻击时间：2021年2月28日
攻击目标：一家东亚IT服务业者

2.LuckyMouse（APT27、Emissary Panda）

开始发动攻击时间：2021年3月1日
攻击目标：一个中东-实体

3.Calypso

开始发动攻击时间：2021年3月1日
攻击目标：中东与北美-实体

4.Websiic

开始发动攻击时间：2021年3月1日
攻击目标：7台邮件服务器。这些服务器所有者的身份，包含了亚洲的IT、电信，以及工程公司，以及一个东欧-机关。

5.Winnti Group（Barium、APT41）

开始发动攻击时间：2021年3月2日
攻击目标：一家石油公司，以及一家建筑设备公司

6.Tonto Team（CactusPete）

开始发动攻击时间：2021年3月3日
攻击目标：东欧的一家采购公司，以及一家软件开发暨资安顾问公司

7.未确认身份的骇客组织：此组骇客滥用ShadowPad的攻击行动

开始发动攻击时间：2021年3月3日
攻击目标：一家东亚软件开发公司，以及一家中东的房仲公司

8.未确认身份的骇客组织：此组骇客发动“Opera”Cobalt Strike攻击行动

开始发动攻击时间：2021年3月3日
攻击目标：截至3月5日约650台服务器遭锁定，多数位于美国，以及德国、英国等欧洲国家

9.未确认身份的骇客组织：此组骇客发动IIS后门攻击行动

开始发动攻击时间：2021年3月3日
攻击目标：4台邮件服务器，位于亚洲与南美洲

10.Mikroceen（Vicious Panda）

开始发动攻击时间：2021年3月4日
攻击目标：一家位于亚洲中心的公营事业公司

11.DLTMiner

开始发动攻击时间：2021年3月5日
攻击目标：N/A