据The Hacker News消息，微软正敦促客户更新他们的 Exchange 服务器，并采取措施加强环境，例如启用Windows 扩展保护和配置基于证书的 PowerShell 序列化有效负载签名。 微软 Exchange团队表示，未打补丁的本地 Exchange 环境通常会被攻击者盯上，进行包括数据泄露等方面在内的各种恶意攻击，并强调，微软发布的缓解措施只是权宜之计，可能不足以抵御各种攻击，用户必须安装必要的安全更新来保护服务器。 近年来， Exchange Server 已被证明是一种十分有利可图的攻击媒介，其中的许多安全漏洞曾被用做零日攻击。仅在过去两年中，就在 Exchange Server 中发现了包括ProxyLogon、ProxyOracle、ProxyShell、ProxyToken、ProxyNotShell和称为OWASSRF ProxyNotShell 缓解绕过在内的几组漏洞，其中一些已在野外受到广泛利用。 在近期由Bitdefender 发布的技术咨询中，记录了自 2022 年 11 月下旬以来涉及 ProxyNotShell / OWASSRF 漏洞利用链的一些攻击手法，通过服务器端请求伪造 ( SSRF) 攻击，能让攻击者从易受攻击的服务器向其他服务器发送精心设计的恶意请求，以访问无法直接获取的资源或信息。这些漏洞武器化的攻击被用来针对奥地利、科威特、波兰、土耳其、美国的艺术娱乐、咨询、法律、制造、房地产和批发行业。 据称，虽然大多数攻击不是集中和有针对性的，但仍会被尝试部署 Web shell 和远程监控和管理 (RMM) 软件，例如 ConnectWise Control 和 GoTo Resolve。Web shell 不仅提供持久的远程访问机制，还允许攻击者进行范围广泛的后续活动，甚至将访问权出售给其他黑客组织以牟利。   转自 Freebuf，原文链接：https://www.freebuf.com/articles/356003.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员将该 APT 组织追踪为 UNC3524，并强调在某些情况下，该组织可以对受害者环境进行超过 18 个月的访问，展示了其 “先进 “的隐匿能力。 在每一个 UNC3524 受害者环境中，攻击者都会针对一个子集的邮箱，集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。 获取权限后，立刻窃取数据 Mandiant 表示，一旦 UNC3524 成功获得受害者邮件环境特权凭证后，就立刻开始向企业内部的 Microsoft Exchange 或 Microsoft 365 Exchange Online 环境提出 Exchange 网络服务（EWS）API 请求。 另外，UNC3524 在不支持安全监控和恶意软件检测工具的网络设备上，部署一个被称为 QUIETEXIT 的后门（以开源的 Dropbear SSH 软件为灵感开发），以保持长期攻击。 在一些攻击中，UNC3524 也会在 DMZ 网络服务器上部署 reGeorg 网络外壳（注：该版本与俄罗斯赞助的 APT28/Fancy Bear 组织有关联），以创建一个SOCKS 隧道作为进入受害者网络的替代接入点。 UNC3524 隧道 UNC3524 通过这些设备（如无线接入点控制器、SAN 阵列和负载平衡器）上部署的恶意软件，大大延长了初始访问与受害者检测到其恶意活动，并切断访问之间的时间间隔。 值得一提的是，Mandiant 表示，即使延长了时间，UNC3524 组织也没有浪费时间，一直使用各种机制重新破坏环境，立即重新启动其数据盗窃活动。 QUIETEXIT 后门命令和控制服务器是僵尸网络的一部分，该僵尸网络通过默认凭证，破坏暴露在互联网上的 LifeSize和D-Link IP视频会议摄像机系统。 在获得访问权并部署其后门后，UNC3524 获得了受害者邮件环境的特权凭证，并开始通过 Exchange 网络服务（EWS）API请求，瞄准企业内部的Microsoft Exchange或Microsoft 365 Exchange Online邮箱。 值得注意的是，UNC3524 组织通常窃取执行团队和从事企业发展、并购或 IT员工的所有电子邮件，而不是挑选感兴趣的电子邮件。   转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332061.html 封面来源于网络，如有侵权请联系删除