伊朗駭客組織推出新後門程式 專攻Microsoft電郵伺服器
編譯/陳佩君
近期FortiGuard Labs(威脅情報研究機構)發現,在阿拉伯聯合大公國政府機構的受感染系統中,發現新型態惡意軟體「PowerExchange」的後門。
值得注意是,這個惡意軟體使用Exchange Web Services(EWS)API發送電子郵件附件,發送被加密的命令和接收被竊取的資訊,該郵件主旨為「更新Microsoft Edge」(Update Microsoft Edge)。
通常駭客是透過釣魚郵件含有壓縮的惡意執行檔,但團隊發現PowerExchange惡意軟體利用郵件伺服器的漏洞進行入侵。一旦成功入侵後,在受感染伺服器上部署ExchangeLeech網頁殼程式(由Digital14事故回應團隊在2020年首次觀察到),安裝一個模仿合法的IIS檔案命名「System.Web.ServiceAuthentication.dll」的檔案。此檔案用於監視網路流量、捕獲憑證、收集登入受感染的Exchange伺服器的使用者名稱和密碼。攻擊者可以遠端執行命令ExchangeLeech網頁殼程式,將這些憑證紀錄發送給他們,在被入侵的伺服器傳送惡意負載並洩漏收集到的文件。
這對於企業和組織來說,是非常嚴重的問題。敏感資訊的洩露可能導致重大損失,包括財務損失、商業機密洩漏、客戶個人資料外洩等。如果伺服器遭到損壞,可能會導致企業的業務中斷,進而損害聲譽和信任。
為了防止PowerExchange惡意軟體的攻擊,企業和組織應該儘快檢查和修補Exchange伺服器的漏洞。微軟已經釋出了相關的安全更新,並建議所有使用Exchange伺服器的組織,盡快安裝這些更新。
此外,提高員工的安全意識可透過教育和培訓,讓員工了解如何識別和應對釣魚郵件、惡意附件等常見的駭客手段,可以大大降低受攻擊的風險。這些措施將有助於保護企業免受PowerExchange等類似惡意軟體的影響,確保系統的安全和穩定運行及內部資料的保護。
資料來源:Bleeping Computer
瀏覽 763 次