格鲁乌的黑暗?揭露Sandworm黑客组织长达数月的邮件服务器劫持
source link: https://www.freebuf.com/news/238417.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
在数月前,美国情报界的Booz Allen Hamilton发布了一份综合报告,提及GRU(俄罗斯军事情报总局,格鲁乌)与两个黑客组织存在密切联系,其中之一就是Sandworm(被指2015年和2016年乌克兰断网时间的幕后黑手)。
最近,外媒报道:俄罗斯军方网络威胁者Sandworm已经利用一个版本的电子邮件服务器漏洞至少数月之久。
据了解,受影响的邮件系统是基于Unix的系统的MTA软件——Exim mail,并且该软件默认安装在许多Linux发行版中。至少从2019年8月开始,Sandworm就一直在利用易受攻击的Exim邮件服务器,将被黑的服务器用作目标系统上的初始感染点,并且转移到受害者网络的其他部分。
事实上,去年5月份,该漏洞已经被披露,漏洞代码为CVE-2019-10149,允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。尽管相关补丁也已发布,但是许多运行Exim的计算机仍没有安装补丁,暴露在攻击威胁之下。
目前,根据NSA的警告,攻击者可以利用该漏洞,在未打补丁的Exim MTA版本中 增加特权用户、禁用网络安全设置、执行额外的脚本来进一步利用网络 。此外,遭到入侵的邮件服务器还可以拦截所有传入的邮件,并且在某些情况下,实现挖掘历史邮件存档。
尽管还不清楚Sandworm的具体意图,但建议大家立即更新Exim以修复漏洞,梳理流量日志检查是否被利用,而系统管理员可以使用软件包管理器或通过从 https://www.exim.org/mirrors.html 下载最新版本,避免不必要的风险。
参考链接
Exim Mail Transfer Agent Actively Exploited by Russian GRU Cyber Actors
NSA: Russia’s Sandworm Hackers Have Hijacked Mail Servers
*本文作者:kirazhou,转载请注明来自FreeBuf.COM
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK