報告:Exchange Server Proxylogon漏洞可能2017年就被駭
今年三月初中國駭客組織攻擊Exchange Server Proxylogon漏洞攻陷至少3萬台Exchange Server引發恐慌。安全研究人員認為,這批漏洞的攻擊行動可能最早可追溯到2017年。
三月一個名為Hafnium的中國駭客組織濫用Exchange Server 4個漏洞,總稱為ProxyLogon,藉此攻擊政府單位、學術機構及大小型企業者。駭客在受害者網路植入web shell後門程式,作為日後遠端控制Exchange Server,之後試圖從其內部網路上竊取資料。
Cybereason這份報告提及了三波針對電信公司的駭客攻擊,皆在蒐集敏感資訊,駭入關鍵系統,如儲存通話紀錄(Call Detail Record)的計費系統、以及駭入Domain Controller、Web伺服器及Exchange Server,似乎是在進行網路間諜行動。研究人員還不清楚這3波攻擊,是3個不同團體的獨立行動,或是1個團體對不同對象發動的攻擊,但極可能是在同一指揮中心下的聯合行動,可能是圖利中國利益的行為。
3組駭客中,一組是Soft Cell,2012年即開始活動,曾攻擊東南亞多個地區的電信公司。最近一波攻擊是從2018年持續到2021年第1季。第二組是Naikon APT,首出現於2010年,目標也是東南亞國家,活動時間是從2020年第4季到今年第1季。
第三波攻擊的目標是Exchange及IIS,並在其中植入OWA (Outlook Web Access)後門程式。這個後門程式與中國駭客組織Group 3390(又稱APT27、Emissary Panda)「鐵虎」(Iron Tiger)行動中用的後門程式很類似。
Cybereason進一步指出,Group 3390濫用的是和Hafnium濫用的ProxyLogon的是相同漏洞。它的活動最早可追溯到2017年,一直到2021年。研究人員推測,駭客先濫用了Exchange Server漏洞,再將觸角伸向其他重要系統,如Domain Controller及計費系統,目標在竊取知名人物、政治異議份子或政府官員的通訊紀錄。
來源:ThreatPost