Mandiant, nella sua ultima ricerca, ha analizzato la vulnerabilità ProxyShell che colpisce i server di Microsoft Exchange.
Mandiant, nel corso della sua attività, ha risposto, in maniera attiva, a molteplici intrusioni che hanno colpito differenti aziende localizzate negli Stati Uniti, in Europa e Medio Oriente in diversi settori, tra cui istruzione, governo, servizi aziendali e telecomunicazioni.
A seguito di indagini, il team di Mandiant non prevede che questi attacchi rallenteranno, e con l’avvicinarsi del Labor Day negli Stati Uniti – il prossimo 6 settembre – è alto il rischio che gli attaccanti siano più propensi a sfruttarla.
Alcune informazioni chiave presenti nella ricerca:
- Mandiant sta rilevando otto gruppi indipendenti che sfruttano questa vulnerabilità, ma l’azienda ritiene che si istituiranno ulteriori cluster man mano che diversi attori della minaccia adotteranno exploit funzionanti;
- Dopo aver sfruttato con successo le vulnerabilità, Mandiant ha osservato più payloads distribuiti per ottenere un punto d’appoggio nella rete, tra cui le web shells CHINACHOP e BLUEBEAM
- Mandiant Managed Defense conferma di aver risposto a un’intrusione che sfruttava la vulnerabilità ProxyShell all’inizio di agosto presso un’Università con sede negli Stati Uniti. Questo nuovo attore di minaccia viene denominato “UNC2980”.
