Conti 勒索軟體瞄準未修補 Proxyshell 的 Exchange Server 大舉進攻
安全廠商 Sophos 發現,惡名昭彰的 Conti 勒索軟體正在攻擊 Exchange Server 幾個月前揭露的 ProxyShell 漏洞。
ProxyShell 是今年 3 月 ProxyLogon 漏洞的進化版。Conti 駭客利用 ProxyShell 駭入目標網路後植入遠端 Web shell 當成後門,之後以閃電速度進行攻擊。其中一個案例中,在植入第 1 個 web shell 後幾分鐘內植入第 2 個 web shell。30 分鐘內,Conti 攻擊者就能產出受害網路上電腦的完整清單。4 小時後,攻擊者已取得網域管理員登入憑證,開始行動。駭入網路 48 小時後,攻擊者就已匯出大約 1 TB 資料。5 天內攻擊者就在網路上每台機器內部署 Conti,特別鎖定每台電腦的網路芳鄰。
研究人員也發現駭客植入 7 個以上的後門程式,包括 2 個 web shell、Cobalt Strike 及 4 個遠端存取工具 (RAT)。Web shell 是用來叩入大門,而由 Cobalt Strike 及遠端存取工具完成之後的攻擊。
ProxyShell 包含 3 個 Exchange Server 漏洞,微軟已在今年 4、5 個月釋出更新版 Exchange Server。安全研究人員觀察到已經有駭客積極掃瞄試圖攻擊 ProxyShell。但是仍然有許多企業還沒升級到最新版本,美國網路安全暨基礎構安全署 (CISA) 也向企業及政府單位發出呼籲。
Conti 勒索軟體從 2020 年涉入多起重大網路資安事件,包括 6 月駭入愛爾蘭衛生部及健康服務管理署。此外許多知名企業包括台灣的研華、VoIP 業者 Sangoma、美國德州及佛州醫院都曾遭到 Conti 的毒手。