微软：Exchange 服务器正被用来部署 BlackCat 勒索软件

据BleepingComputer网站6月13日消息，网络攻击者正通过BlackCat 勒索软件攻击存在漏洞的Microsoft Exchange 服务器。

在微软安全专家观察到的案例中，攻击者使用未修补的 Exchange 服务器作为入口向量的初始攻击，两周后，再通过 PsExec在网络上部署了BlackCat 勒索软件有效负载。

“虽然这些威胁参与者的常见入口向量包括远程桌面应用程序和受损凭据，但我们还看到威胁参与者利用 Exchange 服务器漏洞获取目标网络访问权限。”Microsoft 365 Defender 威胁情报团队表示。尽管没有提及用于初始访问的 Exchange 漏洞，但根据微软 2021 年 3 月的安全公告，其中包含了有关调查和缓解ProxyLogon漏洞攻击的指导性说明。

此外，虽然微软没有在本案例研究中明确部署 BlackCat 勒索软件的网络犯罪组织，但通过对FIN12、DEV-0504等组织的追踪，发现他们都曾在攻击行为中部署过BlackCat的有效载荷。

今年4月，FBI就曾发出过警告称，在 2021 年 11 月至 2022 年 3 月间，BlackCat 勒索软件已对全球至少 60 个组织的网络进行加密。根据调查，BlackCat/ALPHV 的许多开发人员和都与 Darkside/Blackmatter 有关联，这表明他们拥有广泛的网络和勒索软件操作经验。

为了防御 BlackCat 勒索软件攻击，微软建议企业组织审查自身系统中的用户身份状况，监控对其网络的外部访问，并尽快更新其环境中所有易受攻击的 Exchange 服务器。

参考来源

https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-blackcat-ransomware/

精彩推荐