freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

格鲁乌的黑暗?揭露Sandworm黑客组织长达数月的邮件服务器劫持
2020-06-01 13:29:50

在数月前,美国情报界的Booz Allen Hamilton发布了一份综合报告,提及GRU(俄罗斯军事情报总局,格鲁乌)与两个黑客组织存在密切联系,其中之一就是Sandworm(被指2015年和2016年乌克兰断网时间的幕后黑手)。

最近,外媒报道:俄罗斯军方网络威胁者Sandworm已经利用一个版本的电子邮件服务器漏洞至少数月之久。

NSA.png

据了解,受影响的邮件系统是基于Unix的系统的MTA软件——Exim mail,并且该软件默认安装在许多Linux发行版中。至少从2019年8月开始,Sandworm就一直在利用易受攻击的Exim邮件服务器,将被黑的服务器用作目标系统上的初始感染点,并且转移到受害者网络的其他部分。

事实上,去年5月份,该漏洞已经被披露,漏洞代码为CVE-2019-10149,允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。尽管相关补丁也已发布,但是许多运行Exim的计算机仍没有安装补丁,暴露在攻击威胁之下。

unnamed.jpg

目前,根据NSA的警告,攻击者可以利用该漏洞,在未打补丁的Exim MTA版本中增加特权用户、禁用网络安全设置、执行额外的脚本来进一步利用网络。此外,遭到入侵的邮件服务器还可以拦截所有传入的邮件,并且在某些情况下,实现挖掘历史邮件存档。

尽管还不清楚Sandworm的具体意图,但建议大家立即更新Exim以修复漏洞,梳理流量日志检查是否被利用,而系统管理员可以使用软件包管理器或通过从https://www.exim.org/mirrors.html下载最新版本,避免不必要的风险。

参考链接

Exim Mail Transfer Agent Actively Exploited by Russian GRU Cyber Actors

NSA: Russia's Sandworm Hackers Have Hijacked Mail Servers

*本文作者:kirazhou,转载请注明来自FreeBuf.COM

# 黑客组织 # GRU # Sandworm # 邮件服务器劫持
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者