据研究人员称，包括Conti勒索软件子公司在内的威胁行为者正在利用3个未修补的漏洞，这些漏洞允许未经身份验证的远程代码在MS Exchange服务器上执行。

2021年8月下旬，据报道，威胁行为者正在利用ProxyShell漏洞攻击未打补丁的Microsoft Exchange服务器。现在，根据Sophos实验室和FireEye的Mandiant研究团队的独立研究结果，包括Conti勒索软件团伙成员在内的威胁行动者正试图利用最近披露的ProxyShell漏洞，侵入微软Exchange服务器，以破坏公司网络。

据报道，几个星期以来，威胁行为者一直在利用这些漏洞。

黑客利用三个cve

Mandiant的研究人员指出，该团伙利用了三个链式漏洞和暴露(cve)，分别是CVE-2021-34473、CVE-2021-34523和CVE-2021-31207。这些漏洞允许未经身份验证的远程代码在尚未打补丁的MS Exchange服务器上执行。

这些漏洞共同构成了ProxyShell，并将web shell上传到目标网络以获得初始访问权限。之后，它使用多种公开可用的工具，如Mimikatz、Htran、Earthworm和WMIExec来窃取数据。

另一方面，Sophos的事件响应团队发现了一系列由Conti勒索软件附属组织发起的攻击，这些组织使用这些ProxyShell漏洞，在部署臭名昭著的Conti勒索软件之前建立访问权限。

这些cve是Devcore的Orange Tsai在Pwn2Own 2021年黑客大赛期间发现的。微软已经在2021年5月对它们进行了补丁，并在最近披露了漏洞的细节，这就是为什么威胁行为者在攻击中使用它们来攻击未打补丁的Exchange服务器。

多个入侵检测

Mandiant的报告显示，该团队对多次入侵做出了回应，这些入侵都利用了ProxyShell的漏洞。这些攻击分散在一系列客户和行业。该团队已经确定了8个独立的星团，但他们认为可能会发现更多的星团，因为不同的参与者正试图利用它们。

Mandiant观察到，这种利用链会导致后利用活动，包括部署网络外壳、后门和隧道公用设施，进一步损害受害者组织。”

曼迪昂特管理防御小组回应的一次攻击是针对一所美国大学发起的，威胁行为者被追踪为UNC2980。该小组怀疑一个在中国境外活动的网络间谍团伙可能与这起特殊事件有关。

连续攻击在创纪录的时间内展开

Sophos实验室的团队跟踪了Conti勒索软件攻击，发现它们在创纪录的时间内展开，非常不寻常。

根据Sophos的高级威胁研究员Sean Gallagher的说法，攻击者在发射最后的Conti有效载荷之前的停留时间里已经获得了大量的技术经验。加拉格尔在一篇博客文章中解释说，它们的停留时间从“几周、几天、几小时”减少了。

“Conti的子公司成功进入了目标的网络，并在一分钟内建立了一个远程网络shell。三分钟后，他们安装了第二个备份的web shell。在30分钟内，他们生成了一份完整的网络计算机、域控制器和域管理员列表。

仅仅4个小时后，Conti勒索软件附属公司就获得了域管理员账户的证书，并开始执行命令。

因此，在获得初始访问权限的48小时内，攻击者窃取了约1tb的数据，并在5天内安装了7个后门，入侵了两个web shell和4个商业远程访问工具，包括Splashtop、AnyDesk、Atera，甚至Cobalt Strike。

PoCs的广泛存在使情况更加恶化

Mandiant的研究人员认为，概念验证(POC)的广泛应用使情况更加恶化。

Mandiant的博客写道:“由安全研究人员开发并公开发布的概念验证(PoC)漏洞的例子可以被任何威胁组织利用，导致不同级别的威胁组织采用这种漏洞。”

 （来源：HackRead）