Conti 勒索軟體瞄準未修補 Proxyshell 的 Exchange Server 大舉進攻

安全廠商 Sophos 發現，惡名昭彰的 Conti 勒索軟體正在攻擊 Exchange Server 幾個月前揭露的 ProxyShell 漏洞。

ProxyShell 是今年 3 月 ProxyLogon 漏洞的進化版。Conti 駭客利用 ProxyShell 駭入目標網路後植入遠端 Web shell 當成後門，之後以閃電速度進行攻擊。其中一個案例中，在植入第 1 個 web shell 後幾分鐘內植入第 2 個 web shell。30 分鐘內，Conti 攻擊者就能產出受害網路上電腦的完整清單。4 小時後，攻擊者已取得網域管理員登入憑證，開始行動。駭入網路 48 小時後，攻擊者就已匯出大約 1 TB 資料。5 天內攻擊者就在網路上每台機器內部署 Conti，特別鎖定每台電腦的網路芳鄰。

研究人員也發現駭客植入 7 個以上的後門程式，包括 2 個 web shell、Cobalt Strike 及 4 個遠端存取工具 (RAT)。Web shell 是用來叩入大門，而由 Cobalt Strike 及遠端存取工具完成之後的攻擊。

ProxyShell 包含 3 個 Exchange Server 漏洞，微軟已在今年 4、5 個月釋出更新版 Exchange Server。安全研究人員觀察到已經有駭客積極掃瞄試圖攻擊 ProxyShell。但是仍然有許多企業還沒升級到最新版本，美國網路安全暨基礎構安全署 (CISA) 也向企業及政府單位發出呼籲。

Conti 勒索軟體從 2020 年涉入多起重大網路資安事件，包括 6 月駭入愛爾蘭衛生部及健康服務管理署。此外許多知名企業包括台灣的研華、VoIP 業者 Sangoma、美國德州及佛州醫院都曾遭到 Conti 的毒手。

來源：Silicon Angle