美國的聯邦調查局(FBI)、網路安全及基礎設施安全局(CISA)、澳洲的網路安全中心(ACSC),以及英國的國家網路安全中心(NCSC)在本周發表了共同聲明,揭露由伊朗政府所支持的駭客團隊正在開採Microsoft Exchange Server與Fortinet的安全漏洞,提醒各界應小心防範。

此一國家級駭客集團所瞄準的4個安全漏洞分別是存在於Microsoft Exchange Server上的CVE-2021-34473,以及藏匿在Fortinet裝置上的CVE-2018-13379CVE-2020-12812CVE-2019-5591

圖片來源_CISA

其中,CVE-2021-34473為微軟在今年7月修補的安全漏洞,這是一個遠端程式攻擊漏洞,在修補的當時已曝光,但尚未發現攻擊行動。至於Fortinet則早在2019年及2020年,修補了其裝置韌體FortiOS上的相關漏洞。

調查顯示,今年3月FBI與CISA就觀察到該駭客團隊,正在掃描3個Fortinet裝置的漏洞;5月時成功入侵了代管美國市政府網域之伺服器的Fortinet防火牆設備FortiGates,還在該伺服器上建立自己的使用者帳號;今年6月時再度藉由開採FortiGates,入侵了一家專門從事兒童醫療保健的美國醫院;而到了今年的10月,同一駭客團隊即開採微軟剛修補的CVE-2021-34473,以作為進入受害系統的跳板。

不只是美國的組織受駭,ACSC發現同一駭客團隊也試圖於澳洲開採CVE-2021-34473漏洞。

值得注意的是,FBI、CISA、ACSC與NCSC認為,此一駭客團隊並沒有特定的攻擊目標,而是專門開採已知的安全漏洞,接下來的惡意行為包括竊取資料、加密資料,以及植入勒索軟體。

此外,駭客滲透到受害系統之後,通常會建立自己的帳號,而且會依照該系統既有的帳號命名,以掩人耳目,作為日後存取之用。

上述的網路安全機構建議使用Exchange Server與Fortinet產品的組織,應該要檢查其內部網路的可疑行動,包括搜尋危害指標,調查有否曝露的Exchange Server,檢查RDP、防火牆及Windows遠端管理等配置,是否允許駭客長期存取,也應檢查陌生的用戶名稱,或是確保防毒軟體是否正常運作等。


熱門新聞

Advertisement