伊朗駭客組織推出新後門程式　專攻Microsoft電郵伺服器

編譯／陳佩君

近期FortiGuard Labs（威脅情報研究機構）發現，在阿拉伯聯合大公國政府機構的受感染系統中，發現新型態惡意軟體「PowerExchange」的後門。

值得注意是，這個惡意軟體使用Exchange Web Services（EWS）API發送電子郵件附件，發送被加密的命令和接收被竊取的資訊，該郵件主旨為「更新Microsoft Edge」（Update Microsoft Edge）。

通常駭客是透過釣魚郵件含有壓縮的惡意執行檔，但團隊發現PowerExchange惡意軟體利用郵件伺服器的漏洞進行入侵。一旦成功入侵後，在受感染伺服器上部署ExchangeLeech網頁殼程式（由Digital14事故回應團隊在2020年首次觀察到），安裝一個模仿合法的IIS檔案命名「System.Web.ServiceAuthentication.dll」的檔案。此檔案用於監視網路流量、捕獲憑證、收集登入受感染的Exchange伺服器的使用者名稱和密碼。攻擊者可以遠端執行命令ExchangeLeech網頁殼程式，將這些憑證紀錄發送給他們，在被入侵的伺服器傳送惡意負載並洩漏收集到的文件。

這對於企業和組織來說，是非常嚴重的問題。敏感資訊的洩露可能導致重大損失，包括財務損失、商業機密洩漏、客戶個人資料外洩等。如果伺服器遭到損壞，可能會導致企業的業務中斷，進而損害聲譽和信任。

為了防止PowerExchange惡意軟體的攻擊，企業和組織應該儘快檢查和修補Exchange伺服器的漏洞。微軟已經釋出了相關的安全更新，並建議所有使用Exchange伺服器的組織，盡快安裝這些更新。

此外，提高員工的安全意識可透過教育和培訓，讓員工了解如何識別和應對釣魚郵件、惡意附件等常見的駭客手段，可以大大降低受攻擊的風險。這些措施將有助於保護企業免受PowerExchange等類似惡意軟體的影響，確保系統的安全和穩定運行及內部資料的保護。
資料來源：Bleeping Computer

瀏覽 761 次