Conti勒索軟體瞄準未修補Proxyshell的Exchange Server大舉進攻

安全廠商Sophos發現，惡名昭彰的Conti勒索軟體正在攻擊Exchange Server幾個月前揭露的ProxyShell漏洞。

ProxyShell是今年3月ProxyLogon漏洞的進化版。Conti駭客利用ProxyShell駭入目標網路後植入遠端Web shell當成後門，之後以閃電速度進行攻擊。其中一個案例中，在植入第1個web shell後幾分鐘內植入第2個web shell。30分鐘內，Conti攻擊者就能產出受害網路上電腦的完整清單。4小時後，攻擊者已取得網域管理員登入憑證，開始行動。駭入網路48小時後，攻擊者就已匯出大約1 TB資料。5天內攻擊者就在網路上每台機器內部署Conti，特別鎖定每台電腦的網路芳鄰。

研究人員也發現駭客植入7個以上的後門程式，包括2個web shell、Cobalt Strike及4個遠端存取工具(RAT)。Web shell是用來叩入大門，而由Cobalt Strike及遠端存取工具完成之後的攻擊。

ProxyShell包含3個Exchange Server漏洞，微軟已在今年4、5個月釋出更新版Exchange Server。安全研究人員觀察到已經有駭客積極掃瞄試圖攻擊ProxyShell。但是仍然有許多企業還沒升級到最新版本，美國網路安全暨基礎構安全署(CISA)也向企業及政府單位發出呼籲。

Conti勒索軟體從2020年涉入多起重大網路資安事件，包括6月駭入愛爾蘭衛生部及健康服務管理署。此外許多知名企業包括台灣的研華、VoIP業者Sangoma、美國德州及佛州醫院都曾遭到Conti的毒手。

來源：Silicon Angle