TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Exchange Server への大規模サイバー攻撃 (まとめ)

【目次】

概要

【概要】

■特徴

項目 内容 参照
被害組織 米国: 3万組織、米国以外: 数十万組織 (以上推定値) *1 *2
攻撃対象 オンプレミス版Exchange Server
攻撃組織 当初は Hafnium, パッチ公開後は、複数の集団が攻撃開始
侵入されている場合 脆弱性パッチ適用・緩和策の効果はない


■攻撃方法

  1. 脆弱性を悪用してExchange Serverに接続
  2. 遠隔操作するために「WebShell」を導入
  3. 被害組織の電子メールアカウントに侵入し、データを盗み出す


■脆弱性 (ProxyLogon)

CVE番号
NVD
備考
CVE-2021-26855 CVE-2021-26855 Detail サーバサイドリクエストフォージェリ(SSRF)の脆弱性
CVE-2021-26857 CVE-2021-26857 Detail ユニファイドメッセージングサービスの安全でないデシリアライズの脆弱性
CVE-2021-26858 CVE-2021-26858 Detail 認証後の任意のファイル書き込みの脆弱性
CVE-2021-27065 CVE-2021-27065 Detail 認証後の任意のファイル書き込みの脆弱性


■攻撃組織

組織名 備考
Hafnium 中国
APT27 中国
Tick 中国
Calypso
Websiic
Winnti 中国
Tonto Team 中国
Mikroceen 中国
その他


■侵入調査ツール

◆CSS-Exchange (Microsoft, 2021/03/09)
https://github.com/microsoft/CSS-Exchange/tree/main/Security
https://malware-log.hatenablog.com/entry/2021/03/09/000000_6

■日本の状況

  • 攻撃が確認されていない(2021/03/09現在)


■タイムライン

日時 内容
2021/01/05 DEVCOREがMicrosoftに調査結果を警告
2021/01/06 Volexityが、Exchangeの未知の脆弱性を使用する攻撃を発見
2021/01/08 DEVCOREが指摘した問題をMicrosoftが再現・検証
2021/01/27 Dubexが新しいExchangeの脆弱性に対する攻撃についてMicrosoftに警告
2021/01/29 トレンドマイクロが、「Chopper」と呼ばれるWebシェルがExchangeの脆弱性経由で植え付けられたことをブログで投稿
2021/02/02 Volexityが、これまでに知られていないExchangeの未知の脆弱性を使用する新たな攻撃についてMicrosoftに警告
2021/02/08 Microsoftがレポートを社内でエスカレーションしたことをDubexに通知
2021/02/18 MicrosoftがDEVCOREに対しExchangeの脆弱性に対するセキュリティアップデートの目標を3月9日とすること通知
2021/02/26~27日 脆弱性を利用した攻撃が徐々に世界規模になっていることが確認される
この期間に攻撃者がバックドアを仕込む速度があがる
2021/03/02 DEVCOREのセキュリティ研究者であるOrange Tsai氏が、1月5日の「これまでで最も深刻なRCE脆弱性を報告した」というツイートを引用し、そのパッチがリリースされるとツイート
2021/03/02 Microsoftが1週間前倒ししたスケジュールで4つの脆弱性に対するセキュリティアップデートをリリース
2021/03/03 世界中で数万台のExchangeサーバーがハッキングされ、1時間ごとにさらに数千台のサーバーが新たにハッキングされ続ける事態に
2021/03/04 ホワイトハウスのJake Sullivan氏がパッチの重要性ともに、システムがすでにハッキングされているかどうかを検知する方法をTwitterで発信
2021/03/05 13:26 ホワイトハウス報道官のJen Paski氏がライブ・ブリーフィングで攻撃への懸念を表明
2021/03/05 16:07 Krebs氏がアメリカの最低3万組織、そして世界中の数十万の組織にバックドアがインストールされているという報告を公開
2021/03/06 国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)が「Microsoft Exchange Serverの脆弱性の国内および国際的な悪用が広まっていることを認識している」と述べる

*3


■攻撃ツールの流出経路

  • Microsoft は MAPP を疑っている *4
    • MAPPで配布したコードと類似
【最新情報】

◆FBIによる「Exchange」のWebシェル削除に賛否--サイバーセキュリティの今後にどう影響するか (ZDNet, 2021/04/26 06:30)
https://japan.zdnet.com/article/35169862/
https://malware-log.hatenablog.com/entry/2021/04/26/000000_2

記事

【ニュース】

■2021年

◇2021年3月

□2021年03月07日

◆ハッカー集団「ハフニウム」暗躍 中国政府が支援か (テレ朝, 2021/03/07 09:34)
https://news.tv-asahi.co.jp/news_international/articles/000209114.html


□2021年03月09日

◆MicrosoftのExchange Server脆弱性が発覚してからの攻撃&対処のタイムラインはこんな感じ (Gigazine, 2021/03/09 12:35)
https://gigazine.net/news/20210309-attacks-on-exchange-servers/
https://malware-log.hatenablog.com/entry/2021/03/09/000000_7

◆マイクロソフト、「Exchange Server」の脆弱性に関連する侵入の痕跡を確認するスクリプト公開 (ZDNet, 2021/03/09 12:37)
https://japan.zdnet.com/article/35167526/
https://malware-log.hatenablog.com/entry/2021/03/09/000000_6

◆「Exchange Server」攻撃が世界中で拡大、対応支援の要請殺到 中国の集団が関与か (ITmedia, 2021/03/09 15:06)
https://www.itmedia.co.jp/news/articles/2103/09/news103.html
https://malware-log.hatenablog.com/entry/2021/03/09/000000_13


□2021年03月10日

◆More hacking groups join Microsoft Exchange attack frenzy (BleepingComputer, 2021/03/10 09:42)
https://www.bleepingcomputer.com/news/security/more-hacking-groups-join-microsoft-exchange-attack-frenzy/
https://malware-log.hatenablog.com/entry/2021/03/10/000000_5

◆PoC released for Microsoft Exchange ProxyLogon vulnerabilities (The Record, 2021/03/10)
https://therecord.media/poc-released-for-microsoft-exchange-proxylogon-vulnerabilities/
https://malware-log.hatenablog.com/entry/2021/03/10/000000_7


□2021年03月11日

◆マイクロソフトメール攻撃、少なくとも10のハッカー集団が実行か (ロイター, 2021/03/11 13:06)
https://jp.reuters.com/article/idJPKBN2B30AO
https://malware-log.hatenablog.com/entry/2021/03/11/000000_5

◆ノルウェー議会にハッカー攻撃、データ盗まれる 昨年に続き (ロイター, 2021/03/11 11:45)
https://jp.reuters.com/article/norway-cyber-idJPL4N2L90KA
https://malware-log.hatenablog.com/entry/2021/03/11/000000_14


□2021年03月12日

◆Ransomware Operators Start Targeting Microsoft Exchange Vulnerabilities (SecurityWeek, 2021/03/12)
[ランサムウェア事業者がMicrosoft Exchangeの脆弱性を狙い始める]
https://www.securityweek.com/ransomware-operators-start-targeting-microsoft-exchange-vulnerabilities
https://malware-log.hatenablog.com/entry/2021/03/12/000000_1


□2021年03月13日

◆Microsoft、ハッキング巡り「情報共有プログラム」調査 (日経新聞, 2021/03/13 07:33)
https://www.nikkei.com/article/DGXZQOGN1303G0T10C21A3000000/
https://malware-log.hatenablog.com/entry/2021/03/13/000000


□2021年03月14日

◆New PoC for Microsoft Exchange bugs puts attacks in reach of anyone (Bleeping Computer, 2021/03/14 15:42)
https://www.bleepingcomputer.com/news/security/new-poc-for-microsoft-exchange-bugs-puts-attacks-in-reach-of-anyone/
https://malware-log.hatenablog.com/entry/2021/03/14/000000_1


□2021年03月16日

◆「Exchange Server」脆弱性、ランサムウェア「DearCry」の標的に (Security NEXT, 2021/03/16)
https://www.security-next.com/124200
https://malware-log.hatenablog.com/entry/2021/03/16/000000


□2021年03月29日

◆「Exchange Server」攻撃対策、92%以上が適用 まだ3万以上のインスタンスが不適用 (ITmedia, 2021/03/29 10:00)
https://www.itmedia.co.jp/news/articles/2103/29/news064.html
https://malware-log.hatenablog.com/entry/2021/03/29/000000_8


◇2021年4月

□2021年04月14日

◆FBI、「Exchange Server」攻撃を受けた未対策サーバのWebシェル削除を“代行” (ITmedia, 2021/04/14 11:06)
https://www.itmedia.co.jp/news/articles/2104/14/news069.html
https://malware-log.hatenablog.com/entry/2021/04/14/000000_6


□2021年04月23日

◆「Exchange Server」の脆弱性を突く「Prometei」ボットネットがまん延 (ZDNet, 2021/04/23 10:55)
https://japan.zdnet.com/article/35169824/


□2021年04月26日

◆FBIによる「Exchange」のWebシェル削除に賛否--サイバーセキュリティの今後にどう影響するか (ZDNet, 2021/04/26 06:30)
https://japan.zdnet.com/article/35169862/
https://malware-log.hatenablog.com/entry/2021/04/26/000000_2

【ブログ】

□2021年03月02日

◆HAFNIUM targeting Exchange Servers with 0-day exploits (Microsoft, 2021/03/02)
[HAFNIUM、0-dayエクスプロイトでExchangeサーバを狙う]
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://malware-log.hatenablog.com/entry/2021/03/02/000000_2


□2021年03月08日

◆ProxyLogonのまとめとExchange Serverの利用状況について (マクニカネットワークス, 2021/03/08 11:48)
https://blog.macnica.net/blog/2021/03/proxylogonexchange-server.html
https://malware-log.hatenablog.com/entry/2021/03/08/000000_11

◆Microsoft Exchangeのゼロデイ脆弱性の悪用への検知と対応 (FireEye, 2021/03/08)
https://www.fireeye.jp/blog/jp-threat-research/2021/03/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html
https://malware-log.hatenablog.com/entry/2021/03/08/000000_12


□2021年03月09日

◆BitSight Observations Into the HAFNIUM Attacks: Part One (BitSight, 2021/03/09)
[BitSightが見た「HAFNIUM」への攻撃。パート1]
https://www.bitsight.com/blog/hafnium-observations
https://malware-log.hatenablog.com/entry/2021/03/09/000000_15

◆Reproducing the Microsoft Exchange Proxylogon Exploit Chain (Praetorian, 2021/03/09)
https://www.praetorian.com/blog/reproducing-proxylogon-exploit/
https://malware-log.hatenablog.com/entry/2021/03/09/000000_16


□2021年03月10日

◆Exchange servers under siege from at least 10 APT groups (WeLiveSecurity, 2021/03/10 14:00)
[少なくとも10のAPTグループから四面楚歌のExchangeサーバー]

ESET Research has found LuckyMouse, Tick, Winnti Group, and Calypso, among others, are likely using the recent Microsoft Exchange vulnerabilities to compromise email servers all around the world
[ESETリサーチによると、LuckyMouse、Tick、Winnti Group、Calypsoなどが、最近のMicrosoft Exchangeの脆弱性を利用して世界中のメールサーバーを危険にさらしている可能性が高いことがわかりました]

https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/
https://malware-log.hatenablog.com/entry/2021/03/10/000000_3


□2021年03月12日

◆A hacking group is hijacking Microsoft Exchange web shells (The Record, 2021/03/12)
https://therecord.media/a-hacking-group-is-hijacking-microsoft-exchange-web-shells/
https://malware-log.hatenablog.com/entry/2021/03/12/000000_4

◆BitSight Observations Into HAFNIUM Attacks, Part Two: Unpatched Exchange Servers Remain Vulnerable (BitSight, 2021/03/12)
[BitSightによるHAFNIUM攻撃への考察、その2:パッチが適用されていないExchangeサーバーには依然として脆弱性が残る]
https://www.bitsight.com/blog/hafnium-observations-part2
https://malware-log.hatenablog.com/entry/2021/03/09/000000_15


□2021年03月15日

◆Exploits on Organizations Worldwide Grow Tenfold after Microsoft’s Revelation of Four Zero-days (Checkpoint, 2021/03/15 05:30)
https://blog.checkpoint.com/2021/03/11/exploits-on-organizations-worldwide/
https://malware-log.hatenablog.com/entry/2021/03/15/000000

【GitHub】

◆CSS-Exchange (Microsoft, 2021/03/09)
https://github.com/microsoft/CSS-Exchange/tree/main/Security

【Exploit Code】

◆Microsoft Exchange 2019 - SSRF to Arbitrary File Write (Proxylogon) (TESTANULL(Exploit DB), 2021/03/11)
https://www.exploit-db.com/exploits/49637
https://malware-log.hatenablog.com/entry/2021/03/11/000000_13

【関連情報】

テーマ別分類

【侵入調査ツール】

◆CSS-Exchange (Microsoft, 2021/03/09)
https://github.com/microsoft/CSS-Exchange/tree/main/Security
https://malware-log.hatenablog.com/entry/2021/03/09/000000_6

◆マイクロソフト、「Exchange Server」の脆弱性に関連する侵入の痕跡を確認するスクリプト公開 (ZDNet, 2021/03/09 12:37)
https://japan.zdnet.com/article/35167526/
https://malware-log.hatenablog.com/entry/2021/03/09/000000_6

【攻撃組織】

◆HAFNIUM targeting Exchange Servers with 0-day exploits (Microsoft, 2021/03/02)
[HAFNIUM、0-dayエクスプロイトでExchangeサーバを狙う]
https://malware-log.hatenablog.com/entry/2021/03/02/000000_2
https://malware-log.hatenablog.com/entry/2021/03/02/000000_2

◆Exchange servers under siege from at least 10 APT groups (WeLiveSecurity, 2021/03/10 14:00)
[少なくとも10のAPTグループから四面楚歌のExchangeサーバー]

ESET Research has found LuckyMouse, Tick, Winnti Group, and Calypso, among others, are likely using the recent Microsoft Exchange vulnerabilities to compromise email servers all around the world
[ESETリサーチによると、LuckyMouse、Tick、Winnti Group、Calypsoなどが、最近のMicrosoft Exchangeの脆弱性を利用して世界中のメールサーバーを危険にさらしている可能性が高いことがわかりました]

https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/
https://malware-log.hatenablog.com/entry/2021/03/10/000000_3

◆More hacking groups join Microsoft Exchange attack frenzy (BleepingComputer, 2021/03/10 09:42)
[Microsoft Exchangeへの攻撃に、さらに多くのハッキンググループが参加]
https://www.bleepingcomputer.com/news/security/more-hacking-groups-join-microsoft-exchange-attack-frenzy/
https://malware-log.hatenablog.com/entry/2021/03/10/000000_5

◆マイクロソフトメール攻撃、少なくとも10のハッカー集団が実行か (ロイター, 2021/03/11 13:06)
https://jp.reuters.com/article/idJPKBN2B30AO
https://malware-log.hatenablog.com/entry/2021/03/11/000000_5

【攻撃ツール】

■情報

◆Reproducing the Microsoft Exchange Proxylogon Exploit Chain (Praetorian, 2021/03/09)
https://www.praetorian.com/blog/reproducing-proxylogon-exploit/
https://malware-log.hatenablog.com/entry/2021/03/09/000000_16

◆PoC released for Microsoft Exchange ProxyLogon vulnerabilities (The Record, 2021/03/10)
https://therecord.media/poc-released-for-microsoft-exchange-proxylogon-vulnerabilities/
https://malware-log.hatenablog.com/entry/2021/03/10/000000_7

◆Microsoft Exchange 2019 - SSRF to Arbitrary File Write (Proxylogon) (TESTANULL(Exploit DB), 2021/03/11)
https://www.exploit-db.com/exploits/49637
https://malware-log.hatenablog.com/entry/2021/03/11/000000_13

◆New PoC for Microsoft Exchange bugs puts attacks in reach of anyone (Bleeping Computer, 2021/03/14 15:42)
https://www.bleepingcomputer.com/news/security/new-poc-for-microsoft-exchange-bugs-puts-attacks-in-reach-of-anyone/
https://malware-log.hatenablog.com/entry/2021/03/14/000000_1


■コード(未実証)

◆PoC_proxyLogon.py (vavkamil, 2021/03/11)
https://gist.github.com/vavkamil/0f2cff6723975ea6f606c1fb9b11306e

◆Microsoft_Exchange_Server_SSRF_CVE-2021-26855 (conjojo, 2021/03/06)
https://github.com/conjojo/Microsoft_Exchange_Server_SSRF_CVE-2021-26855/blob/master/Microsoft_Exchange_Server_SSRF_CVE-2021-26855.py

◆proxylogonPoc.php (Pastbin)
https://pastebin.com/N7d3Qstd

【ランサムウェア】

◆Ransomware Operators Start Targeting Microsoft Exchange Vulnerabilities (SecurityWeek, 2021/03/12)
[ランサムウェア事業者がMicrosoft Exchangeの脆弱性を狙い始める]
https://www.securityweek.com/ransomware-operators-start-targeting-microsoft-exchange-vulnerabilities
https://malware-log.hatenablog.com/entry/2021/03/12/000000_1

◆「Exchange Server」脆弱性、ランサムウェア「DearCry」の標的に (Security NEXT, 2021/03/16)
https://www.security-next.com/124200
https://malware-log.hatenablog.com/entry/2021/03/16/000000

【日本への攻撃】

◆サイバー攻撃、国内被害なし 加藤官房長官 (時事通信, 2021/03/08 15:00)
https://www.jiji.com/jc/article?k=2021030800666
https://malware-log.hatenablog.com/entry/2021/03/08/000000_4

◆SOCで「Exchange Server」への攻撃は未観測、PoCも未確認 - ラック (Security NEXT, 2021/03/09)
https://www.security-next.com/123996
https://malware-log.hatenablog.com/entry/2021/03/09/000000_10

【図表】

■攻撃対象の脆弱サーバマップ

f:id:tanigawa:20210314114206p:plain
出典: https://www.bitsight.com/blog/hafnium-observations

■Hafnium のt活動

f:id:tanigawa:20210315082345j:plain
出典: https://thehackernews.com/2021/03/proxylogon-exchange-poc-exploit.html

関連情報


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020