进出口电子邮件服务器现在受到攻击

据估计，Exim服务器运行着近57%的互联网电子邮件服务器，目前正受到大量黑客组织的攻击，这些组织试图利用最近的安全漏洞接管易受攻击的服务器。

已经确定至少有两个黑客组织在攻击，一个运行在公共互联网服务器上，另一个使用位于暗网上的服务器。

回到巫师-CVE-2019-10149

这两个组织都在利用6月5日公开披露的CVE-2019-10149的漏洞。

该漏洞被称为“向导的回归”(return of Wizard)，它允许远程攻击者向易受攻击的Exim服务器发送恶意电子邮件，并在Exim进程的访问级别下运行恶意代码，该访问级别是大多数服务器上的root用户。

目前，在互联网上安装了大量的Exim服务器-估计在500万到540万之间-所以我们期待着开发尝试。

第一组和第一波攻击

据自称是安全爱好者的弗雷迪莱曼(Freddie Leeman)称，第一波攻击始于6月9日，当时第一批黑客组织开始从位于clear网络上的命令和控制服务器(http://173 [] 212.214.137/sec)发起攻击。

在接下来的几天里，这个组织发展了它的攻击，并且改变了它在被感染的主机上下载的恶意软件和脚本的类型；一个迹象表明，他们还在试验自己的攻击链，还没有确定具体的利用方式和最终目标。

不过，虽然尚不清楚该组织的袭击方式，但这些袭击并非哑弹，至少造成了一些受害者。

第二组进入折叠。

马格尼。Cyren的安全研究员sigursson今天在一封电子邮件中告诉ZDNet，第二组实施的第二波攻击发生在6月10日。

“当前攻击的直接目标是通过下载将根密钥添加到根帐户的shell脚本来创建MTA服务器的后门，”sigursson告诉ZDNet。

据研究人员称，攻击的步骤如下：

1)攻击者发送一封电子邮件。在这封电子邮件的SMTP对话框中，RCPT _收件人字段获取一个电子邮件地址，其中包含攻击者为利用Exim漏洞而制作的“本地部分”。具体来说，这种攻击使用了一种特别设计的信封——From(532。MailFrom)，如下所示，它将下载一个Shell脚本并直接执行。

标签：