在數月前，美國情報界的Booz Allen Hamilton發(fā)布了一份綜合報告，提及GRU(俄羅斯軍事情報總局，格魯烏)與兩個黑客組織存在密切聯(lián)系，其中之一就是Sandworm(被指2015年和2016年烏克蘭斷網時間的幕后黑手)。

最近，外媒報道：俄羅斯軍方網絡威脅者Sandworm已經利用一個版本的電子郵件服務器漏洞至少數月之久。

據了解，受影響的郵件系統(tǒng)是基于Unix的系統(tǒng)的MTA軟件——Exim mail，并且該軟件默認安裝在許多Linux發(fā)行版中。至少從2019年8月開始，Sandworm就一直在利用易受攻擊的Exim郵件服務器，將被黑的服務器用作目標系統(tǒng)上的初始感染點，并且轉移到受害者網絡的其他部分。

事實上，去年5月份，該漏洞已經被披露，漏洞代碼為CVE-2019-10149，允許遠程攻擊者在知道該漏洞的情況下執(zhí)行他們選擇的命令和代碼。盡管相關補丁也已發(fā)布，但是許多運行Exim的計算機仍沒有安裝補丁，暴露在攻擊威脅之下。

[[328408]]

目前，根據NSA的警告，攻擊者可以利用該漏洞，在未打補丁的Exim MTA版本中增加特權用戶、禁用網絡安全設置、執(zhí)行額外的腳本來進一步利用網絡。此外，遭到入侵的郵件服務器還可以攔截所有傳入的郵件，并且在某些情況下，實現挖掘歷史郵件存檔。

盡管還不清楚Sandworm的具體意圖，但建議大家立即更新Exim以修復漏洞，梳理流量日志檢查是否被利用，而系統(tǒng)管理員可以使用軟件包管理器或通過從

https://www.exim.org/mirrors.html下載最新版本，避免不必要的風險。