GRU黑暗?揭露Sandworm黑客组织长达数月的邮件服务器劫持事件与黑客组织关系密切,其中之一就是Sandworm(据称是乌克兰2015年和2016年互联网中断的幕后黑手)。近日,外媒报道称,俄罗斯军方网络威胁组织Sandworm至少几个月来一直在利用一个版本的电子邮件服务器漏洞。据了解,受影响的邮件系统是基于Unix系统的MTA软件——Eximmail,该软件在很多Linux发行版中都是默认安装的。Sandworm至少从2019年8月开始就一直在利用易受攻击的Exim邮件服务器,将被黑的服务器用作目标系统上的初始感染点,并转移到受害者网络的其他部分。事实上,该漏洞已于去年5月披露,漏洞代码为CVE-2019-10149,允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。虽然补丁已经发布,但许多运行Exim的计算机仍未打补丁,使它们容易受到攻击。目前,根据美国国家安全局的警告,攻击者可以利用此漏洞添加特权用户、禁用网络安全设置,并在未修补版本的EximMTA中执行其他脚本,以进一步利用网络。此外,受感染的邮件服务器可以拦截所有传入邮件,并且在某些情况下,可以挖掘历史邮件档案。虽然不清楚Sandworm的具体意图,但建议大家及时更新Exim修复漏洞,梳理流量日志查看是否被利用,系统管理员可以使用包管理器或从https://下载/www.exim.org/mirrors.html下载最新版本,避免不必要的风险。
