美國(guó)司法部(DoJ)周二表示,聯(lián)邦調(diào)查局特工執(zhí)行了一項(xiàng)法院授權(quán)的網(wǎng)絡(luò)操作��,以從其所有者不為人知的美國(guó)數(shù)百個(gè)以前被黑客入侵的Microsoft Exchange服務(wù)器中刪除惡意Web外殼����。
在1月份在全球范圍內(nèi)發(fā)生了針對(duì)Exchange Server安裝的大規(guī)��?褚傲闳展衾顺之后�����,精明的組織爭(zhēng)先恐后地鎖定易受攻擊的Microsoft電子郵件服務(wù)器并刪除攻擊者安裝的Web Shell��。
在Microsoft觀察到的早期攻擊中�,攻擊者能夠利用一系列漏洞來(lái)訪(fǎng)問(wèn)本地Exchange服務(wù)器���,從而可以訪(fǎng)問(wèn)電子郵件帳戶(hù)��,并允許安裝其他惡意軟件以促進(jìn)對(duì)受害環(huán)境的長(zhǎng)期訪(fǎng)問(wèn)。
不幸的是�,許多組織無(wú)法修補(bǔ)系統(tǒng)和/或刪除已安裝的相關(guān)惡意軟件�����。
FBI似乎是此類(lèi)活動(dòng)中的第一個(gè)已知操作��,“ FBI刪除了一個(gè)早期的黑客小組剩余的Web Shell����,這些Web Shell可以用來(lái)維護(hù)和升級(jí)對(duì)美國(guó)網(wǎng)絡(luò)的持久���,未經(jīng)授權(quán)的訪(fǎng)問(wèn)�������!
根據(jù)法院文件�����,F(xiàn)BI代理通過(guò)通過(guò)Web Shell向服務(wù)器發(fā)出命令來(lái)刪除Web Shell���,該命令旨在使服務(wù)器僅刪除Web Shell(由其唯一的文件路徑標(biāo)識(shí))。
美國(guó)司法部解釋說(shuō):“由于FBI拆除的每個(gè)Web外殼都有唯一的文件路徑和名稱(chēng)����,因此對(duì)于個(gè)人服務(wù)器所有者來(lái)說(shuō)����,檢測(cè)和清除它們可能比其他Web外殼更具挑戰(zhàn)性��������!
盡管FBI代理復(fù)制并刪除了Web外殼程序����,使攻擊者可以后門(mén)訪(fǎng)問(wèn)服務(wù)器����,但組織可能還不清楚。
司法部說(shuō):“這項(xiàng)操作成功地復(fù)制和刪除了這些網(wǎng)絡(luò)外殼���������! “但是��,它沒(méi)有修補(bǔ)任何Microsoft Exchange Server零日漏洞,也沒(méi)有搜索或刪除黑客團(tuán)體通過(guò)利用Web Shell可能放置在受害網(wǎng)絡(luò)上的任何其他惡意軟件或黑客工具����。”
盡管微軟在一月份將最初的攻擊歸因于與中國(guó)有關(guān)聯(lián)的HAFNIUM威脅參與者���,但在公布了Exchange漏洞之后不久����,多個(gè)黑客組織紛紛跟進(jìn)��。
HAFNIUM主要針對(duì)美國(guó)多個(gè)行業(yè)的實(shí)體�,包括傳染病研究人員,律師事務(wù)所����,高等教育機(jī)構(gòu),國(guó)防承包商��,政策智囊團(tuán)和非政府組織�。
在完成大部分工作之后,F(xiàn)BI現(xiàn)在正試圖通知其清除Web Shell的計(jì)算機(jī)的所有者或操作員��。
仍然認(rèn)為自己的Microsoft Exchange Server仍然受到威脅的組織應(yīng)聯(lián)系當(dāng)?shù)氐腇BI外地辦事處以尋求幫助。
該操作涉及的公司/組織名稱(chēng)和IP地址已從公開(kāi)的法院文件中刪除
就在本月Patch Tuesday捆綁包中修復(fù)了Exchange Server中的四個(gè)新的重要安全漏洞之時(shí)���,該操作才得以揭曉���。由于其他問(wèn)題的嚴(yán)重性,Microsoft與美國(guó)國(guó)家安全局(NSA)合作�,敦促立即部署新修補(bǔ)程序。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
