LockBit附属公司危害MicrosoftExchange服务器以部署勒索软件

韩国网络安全公司AhnLab报告称，Lockbit勒索软件的附属公司正在通过受损的Microsoft Exchange服务器分发他们的恶意软件。

2022年7月，该公司一名客户运营的两台服务器感染了Lock Bit 3.0勒索软件。

威胁行为体最初在受损的Exchange服务器上部署web shell，然后只用了7天时间就将权限提升到Active Directory管理员，并在加密网络中承载的系统之前窃取了大约1.3 TB的数据。

据研究人员称，攻击者据称利用了Microsoft Exchange Server中的零日漏洞。

“查看Microsoft Exchange Server漏洞历史，远程代码执行漏洞在2021年12月16日( CVE – 2022 – 21969)被披露，权限提升漏洞在2022年2月被披露，最近的漏洞在6月27日。信息披露脆弱性。也就是说，在5月之后披露的漏洞中，没有关于远程命令或文件创建相关漏洞的报告。”因此，考虑到WebShell创建于7月21日，预计攻击者使用了一个未公开的零日漏洞。

专家们认为，攻击者可能没有利用最近披露的CVE – 2022 – 41040和CVE – 2022 – 41082漏洞。

一些知名专家，包括广受欢迎的凯文·博蒙特说，他不相信这是零日。

漏洞研究员Will多曼指出，该报告没有包含利用新的零日漏洞的证据。

 Bleeping Computer指出，”零日计划”漏洞研究者Piotr巴齐德沃发现的Microsoft Exchange中至少有3个漏洞尚未修补。

 ZDI跟踪的三个问题ZDI – CAN – 18881、ZDI – CAN – 18882和ZDI – CAN – 18932于2022年9月20日发布。