吳明宜安全廠商 Sophos 發現,惡名昭彰的 Conti 勒索軟體正在攻擊 Exchange Server 幾個月前揭露的 ProxyShell 漏洞。
ProxyShell 是今年 3 月 ProxyLogon 漏洞的進化版。 Conti 駭客利用 ProxyShell 駭入目標網路後植入遠端 Web shell 當成後門,之後以閃電速度進行攻擊。其中一個案例中,在植入第 1 個 web shell 後幾分鐘內植入第 2 個 web shell 。 30 分鐘內,Conti 攻擊者就能產出受害網路上電腦的完整清單。 4 小時後,攻擊者已取得網域管理員登入憑證,開始行動。駭入網路 48 小時後,攻擊者就已匯出大約 1 TB 資料。 5 天內攻擊者就在網路上每台機器內部署 Conti,特別鎖定每台電腦的網路芳鄰。
研究人員也發現駭客植入 7 個以上的後門程式,包括 2 個 web shell 、 Cobalt Strike 及 4 個遠端存取工具 (RAT) 。 Web shell 是用來叩入大門,而由 Cobalt Strike 及遠端存取工具完成之後的攻擊。
ProxyShell 包含 3 個 Exchange Server 漏洞,微軟已在今年 4 、 5 個月釋出更新版 Exchange Server 。安全研究人員觀察到已經有駭客積極掃瞄試圖攻擊 ProxyShell 。但是仍然有許多企業還沒升級到最新版本,美國網路安全暨基礎構安全署 (CISA) 也向企業及政府單位發出呼籲。
Conti 勒索軟體從 2020 年涉入多起重大網路資安事件,包括 6 月駭入愛爾蘭衛生部及健康服務管理署。此外許多知名企業包括台灣的研華、 VoIP 業者 Sangoma 、美國德州及佛州醫院都曾遭到 Conti 的毒手。