格鲁乌的黑暗？揭露Sandworm长达数月的邮件服务器劫持

在数月前，美国情报界的Booz Allen Hamilton发布了一份综合报告，提及GRU（俄罗斯军事情报总局，格鲁乌）与两个黑客组织存在密切联系，其中之一就是Sandworm（被指2015年和2016年乌克兰断网时间的幕后黑手）。

最近，外媒报道：俄罗斯军方网络威胁者Sandworm已经利用一个版本的电子邮件服务器漏洞至少数月之久。

据了解，受影响的邮件系统是基于Unix的系统的MTA软件——Exim mail，并且该软件默认安装在许多Linux发行版中。至少从2019年8月开始，Sandworm就一直在利用易受攻击的Exim邮件服务器，将被黑的服务器用作目标系统上的初始感染点，并且转移到受害者网络的其他部分。

事实上，去年5月份，该漏洞已经被披露，漏洞代码为CVE-2019-10149，允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。尽管相关补丁也已发布，但是许多运行Exim的计算机仍没有安装补丁，暴露在攻击威胁之下。

目前，根据NSA的警告，攻击者可以利用该漏洞，在未打补丁的Exim MTA版本中增加特权用户、禁用网络安全设置、执行额外的脚本来进一步利用网络。此外，遭到入侵的邮件服务器还可以拦截所有传入的邮件，并且在某些情况下，实现挖掘历史邮件存档。

尽管还不清楚Sandworm的具体意图，但建议大家立即更新Exim以修复漏洞，梳理流量日志检查是否被利用，而系统管理员可以使用软件包管理器或通过从https://www.exim.org/mirrors.html下载最新版本，避免不必要的风险。

参考链接

Exim Mail Transfer Agent Actively Exploited by Russian GRU Cyber Actors NSA: Russia’s Sandworm Hackers Have Hijacked Mail Servers

*本文作者：kirazhou，转载请注明来自FreeBuf.COM