格鲁乌的黑暗？揭露Sandworm黑客组织长达数月的邮件服务器劫持

在数月前，美国情报界的Booz Allen Hamilton发布了一份综合报告，提及GRU(俄罗斯军事情报总局，格鲁乌)与两个黑客组织存在密切联系，其中之一就是Sandworm(被指2015年和2016年乌克兰断网时间的幕后黑手)。

最近，外媒报道：俄罗斯军方网络威胁者Sandworm已经利用一个版本的电子邮件服务器漏洞至少数月之久。

据了解，受影响的邮件系统是基于Unix的系统的MTA软件——Exim mail，并且该软件默认安装在许多Linux发行版中。至少从2019年8月开始，Sandworm就一直在利用易受攻击的Exim邮件服务器，将被黑的服务器用作目标系统上的初始感染点，并且转移到受害者网络的其他部分。

事实上，去年5月份，该漏洞已经被披露，漏洞代码为CVE-2019-10149，允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。尽管相关补丁也已发布，但是许多运行Exim的计算机仍没有安装补丁，暴露在攻击威胁之下。

目前，根据NSA的警告，攻击者可以利用该漏洞，在未打补丁的Exim MTA版本中增加特权用户、禁用网络安全设置、执行额外的脚本来进一步利用网络。此外，遭到入侵的邮件服务器还可以拦截所有传入的邮件，并且在某些情况下，实现挖掘历史邮件存档。

尽管还不清楚Sandworm的具体意图，但建议大家立即更新Exim以修复漏洞，梳理流量日志检查是否被利用，而系统管理员可以使用软件包管理器或通过从

https://www.exim.org/mirrors.html下载最新版本，避免不必要的风险。

本文转载自网络，原文链接：https://www.freebuf.com/news/238417.html
本站部分内容转载于网络，版权归原作者所有，转载之目的在于传播更多优秀技术内容，如有侵权请联系QQ/微信：153890879删除，谢谢！